Eh bien, si vous encodez le contenu de manière à ce que n'importe quel JavaScript soit en train d'exécuter, il devrait être sûr. p>
Si vous n'êtes pas alors utilisé, un utilisateur pourrait télécharger JavaScript qui exécuterait la prochaine fois que la page Vues d'utilisateur. p>
Je veux modifier ma réponse pour prendre en compte les commentaires @brigham. Escape ne fonctionne que de manière fiable si vous avez affaire à l'innerhtml de quelque chose comme un onglet div, si vous faites face à l'utilisation d'une valeur générée par l'utilisateur en tant qu'attribut ou dans une étiquette de script, l'échappement / encodage ne fonctionnera pas. p>
Je vais vous référer à la directive Owasp XSS (que @brigham a initialement porté à mon attention) pour plus d'informations: https://www.owasp.org/index.php/xsss_%28cross_site_scriptting%29_prevent_cheat_sheet#untrusted_data p>