En mi aplicación JS, tengo que protegerme contra las primeras 2 reglas mencionadas en la hoja de trucos de OWASP Anti XSS:
Regla 1:
<body> ...ENCODE UNTRUSTED DATA BEFORE PUTTING HERE... </body>
Regla 2
<div attr="...ENCODE UNTRUSTED DATA BEFORE PUTTING HERE...">content
De acuerdo con la guía, para la regla 1, se deben codificar los siguientes caracteres &'"<>.
Entonces, si tengo la siguiente función de codificación, esto debería ser suficiente, ¿no?
.replace(/&/g, '&') .replace(/'/g, ''') .replace(/"/g, '"') .replace(/</g, '<') .replace(/>/g, '>')
¿Puedo usar esta codificación para proteger la aplicación en estos 2 casos (aunque para la regla 2, solo las comillas deberían ser suficientes, verdad?)?