1回答

TooooBug

2019-07-08

这里我给不了确定的回答哈，按我的理解，`&`符号的风险是比较小的，只是习惯性地转义。同时，因为HTML实体是以`&`开头的，如果`&`本身不转义，会有一些混淆。按这个答案，在HTML解析时，存在碰到&号后被替换上下文的风险，从而导致XSS风险，但……仍然是风险比较小。

https://stackoverflow.com/questions/39214564/why-ampersand-should-be-escaped-because-of-xss-injection

0

0