形成原因:
有些字符和关键词冲突,比如<>,解码之后,浏览器会误认为它们是标签
HTML解析
三种方法可以容纳字符实体——>**这里重要的是在这三种模式下,**可以进行HTML实体自动“解码”!!!
**
数据状态中的字符引用
<img src=x onerror=alert(4)>
因为处于“数据状态”,不会转换到“标签开始状态”,所以不会建立新标签
因此,我们能够利用字符实体编码来转义用户输入的数据从而确保用户输入的数据只能被解析成“数据”
属性值状态中的字符引用
类似于src,herf这样的属性值被编码,会自动进行Html解码
**
RCDATA状态中的字符引用
作用:可以容纳文本和字符引用
RCDATA元素(RCDATA elements),有