¿Las entidades HTML son inherentemente inseguras?

Navega tus respuestas
1

Al enviar HTML que contiene entidades al OWASP HTMLSanitzer , las entidades se convierten.

Por ejemplo: 

BEFORE: <p>blah blah blah &diams;</p>

El HTML resultante termina pareciéndose a esto: 

AFTER: <p>blah blah blah ?</p>

La entidad se convierte de nuevo a su carácter original de Unicode.

¿Por qué OWASP hace eso? ¿Las entidades son inseguras? Para mí, tener las entidades resuelve cualquier problema en el camino con texto Unicode.

Además, ¿hay una manera de permitir que las entidades permanezcan intactas en HTMLSanitzer?

    
pregunta sproketboy 24.06.2014 - 16:12
fuente

1 respuesta

-1

Son seguros, pero es una buena práctica escapar o convertirlos

Esto te permitirá evitar ser:

  • script inyectado
  • Enfrenta una incompatibilidad de texto del navegador (¿has visto esos sitios con unicode como chars? )

Y probablemente más

Míralo como una forma estándar de representar un texto como debería estar en diferentes idiomas y codificaciones, ya que algunos utf8 estrictos mostrarán un texto mal formateado si no los evitas, porque algunos caracteres especiales con agudo o tilde, El usuario final no podrá reconocerlo cuando aparezca.

    
respondido por el Quijote Shin 24.06.2014 - 17:58
fuente

Lea otras preguntas en las etiquetas

Obtención del certificado KeyContainerName para inicializar CspParameters Opiniones sobre mi idea de implementación de "Cifrado en reposo"