Security 基于unicode的XSS是一个问题吗？

也许这对security.stack更好，我不确定，但问题是：

---

我最近看到一个博客，声称

<ｓｃｒｉｐｔ＞ａｌｅｒｔ（１）＜／ｓｃｒｉｐｔ＞将被解析为实际的
。然而，在我最近对Chrome的测试中，情况并非如此。有人听说过浏览器将其解析为真正的标记吗？如果是这样，那么我不知道人们会如何缓解这种情况，因为可能还有其他人，而不仅仅是
'
，我知道我还没有准备好用于遍历所有unicode以枚举它们。
这将直接违反HTML规范。根据它们，标记有效字符是Ascii字符，而像U+FF1C FULLWIDTH小于符号“＜”只是没有特殊意义的数据字符。浏览器需要额外的代码来将全宽字符映射到Ascii（作为特殊映射或通过标准化到NFKD或NFCKC），但没有理由假设他们会这样做，就像有理由认为他们可以开始将“[”映射到Ascii一样否，浏览器不会将被全宽LT或GT符号包围的文本解释为有效的HTML标记，但某些后端会将它们转换为正常的LT或GT符号，从而产生XSS风险。请参见以下内容：
是的，它会。在“Jukka的答案”之后的所有内容都缺少一些重要信息这是一个充分的独立答案。我将删除这句话，使其更清楚。