Je lis la feuille de prévention des OWSAP, mais je me suis confondu avec la règle numéro 2.attributs HTML échapper
Règle n ° 2 - Attribut Évasion Avant d'insérer des données non fiables dans HTML Attributs communs Règle n ° 2 est pour mettre des données non fiables dans des valeurs d'attribut typiques comme largeur, nom, valeur, etc. Ceci ne devrait pas être utilisé pour des attributs complexes comme href, src, style, ou n'importe lequel des gestionnaires d'événements comme onmouseover. Il est extrêmement important que les attributs du gestionnaire d'événements suivent la règle n ° 3 pour les valeurs de données HTML JavaScript.
ce qui est la raison pour laquelle les attributs complexes ne doivent pas être échappés (Cela ne devrait pas être utilisé pour les attributs complexes comme href, Src, le style) est cela crée une ambiguïté ou briser les valeurs des attributs ?
https://www.owasp.org/index.php/XSS_(Cross_Site_Scripting)_Prevention_Cheat_Sheet