我试图逃避一些html输出以防止XSS。
以下输入:
<b><i>Hello World</i></b>
逃脱:
<b><i>Hello World</i></b>
在浏览器中呈现的预期结果:
<b><i>Hello World</i></b>
在浏览器中呈现的实际结果:
<b><i>Hello World</i></b>
以上值也是视图源中出现的值,因此我非常有信心它不会被双重转义。任何人都知道为什么我的浏览器没有正确呈现转义的html标签?