En mi aplicación JS, tengo que protegerme contra las primeras 2 reglas mencionadas en la hoja de trucos de OWASP Anti XSS:

Regla 1:

 <body> ...ENCODE UNTRUSTED DATA BEFORE PUTTING HERE... </body>

Regla 2

 <div attr="...ENCODE UNTRUSTED DATA BEFORE PUTTING HERE...">content

De acuerdo con la guía, para la regla 1, se deben codificar los siguientes caracteres &'"<>.

Entonces, si tengo la siguiente función de codificación, esto debería ser suficiente, ¿no?

 .replace(/&/g, '&amp;') .replace(/'/g, '&apos;') .replace(/"/g, '&quot;') .replace(/</g, '&lt;') .replace(/>/g, '&gt;')

¿Puedo usar esta codificación para proteger la aplicación en estos 2 casos (aunque para la regla 2, solo las comillas deberían ser suficientes, verdad?)?