1如果关注的是HTML中的XSS预防,那么XML转义应该就足够了(这里不想涉及XML与HTML的争议...)。 - Alex Lehmann
@AdamGent:你能举个转义XML和HTML之间的区别的例子吗? - priomsrb
4是的,那个臭名昭著的 ':在HTML和SGML中,字符实体引用<、>、"和&被预定义,因为小于号、大于号、双引号和&符号已经用于标记分隔。值得注意的是,这不包括XML中的'(')实体。有关所有命名的HTML字符实体引用的列表,请参见XML和HTML字符实体引用列表(约250个条目)。--来自维基百科:http://en.wikipedia.org/wiki/Character_encodings_in_HTML - Adam Gent
3请注意,这并不能完全防止所有的跨站脚本攻击漏洞!如果你有var show = ${fn:escapeXml(show)},即使没有使用 < 或 ",它仍然存在被攻击的风险! - MasterScrat
':在HTML和SGML中,字符实体引用<、>、"和&被预定义,因为小于号、大于号、双引号和&符号已经用于标记分隔。值得注意的是,这不包括XML中的'(')实体。有关所有命名的HTML字符实体引用的列表,请参见XML和HTML字符实体引用列表(约250个条目)。--来自维基百科:http://en.wikipedia.org/wiki/Character_encodings_in_HTML - Adam Gentvar show = ${fn:escapeXml(show)},即使没有使用<或",它仍然存在被攻击的风险! - MasterScrat