自分にとって興味深い発見をした、それは一線になります
<\0b>text</b>
-\ 0はコード0の文字
IEは、すべての結果を伴う通常の太字タグとして解釈します。同じことが<script> <style>タグなどに適用されます。
これは、
str_replace, preg_replace
(PHP)、s / <script /.../ i(Perl、sed)、および他の言語の他のreplace()関数で潜在的に危険な要素を削除しても、期待する結果が得られないことを意味します。
同じことが「ホワイト」リストによるフィルタリングにも当てはまります。これは、シーケンス
<\0b>text</b>
タグと見なさない場合があり
<\0b>text</b>
。
幸い、Firefox、Opera、Safariはそうは思いません。 開発者、ユーザーデータのフィルタリングには注意してください!