标签: input encoding escaping xss
OWASP说:“基于HTML输出中的上下文(正文,属性,JavaScript,CSS或URL)转义不受信任的HTTP请求数据将解决Reflected和Stored XSS漏洞”和“在修改浏览器时应用上下文相关的编码客户端上的文档违反了DOM XSS”,但如何区分转义和编码?另一个网站说,转义是编码的一个子集。我只是对两者感到困惑。