HTML标记是否可以在不使用标准“<”字符的情况下呈现在纯HTML文档中?

背景

我正在开发一个现有的web应用程序,允许用户生成的内容具有HTML标记。为了减轻XSS攻击和其他风险,我使用 HTML Purifier 库,将内容解析为HTML,并在服务器端呈现之前删除不在允许列表中的任何标记。

我希望通过使用更便宜的测试,只为被认为有风险的字符串调用昂贵的净化器库来提高性能,也就是说,通过检查 < 字符,表示字符串中可能存在HTML标记。

主要问题

那么 < 用户生成的字符串中的字符可以保证该字符串在包含在服务器的HTML文档中时不包含任何将被呈现为HTML标记的内容?换句话说,攻击者是否可以包含一个子字符串,从而导致 <script></script> 标记,而不包含包含 < 性格

我想到的是使用字符编码技巧使浏览器最终处理 < 字符作为标记的开头,而没有包含该文字字符的原始字符串。

用例说明

我可以解释用户输入的HTML实体,并将它们呈现为相关联的字符,例如 & 被渲染为 & 。我只想确保在允许列表之外没有HTML标记。

编码所有HTML实体的常用方法(例如。 < , > , & )字符串中的 不 此应用程序的一个选项:允许允许列表上的HTML标记是必需的。