Il foglio Cheat di prevenzione XSS OWASP contiene un elenco di posizioni in cui i dati non attendibili non dovrebbero mai essere mettere:
<script>...NEVER PUT UNTRUSTED DATA HERE...</script> directly in a script <!--...NEVER PUT UNTRUSTED DATA HERE...--> inside an HTML comment <div ...NEVER PUT UNTRUSTED DATA HERE...=test /> in an attribute name <NEVER PUT UNTRUSTED DATA HERE... href="/test" /> in a tag name <style>...NEVER PUT UNTRUSTED DATA HERE...</style> directly in CSS
Capisco perché i dati non dovrebbero essere inseriti negli altri 4 posti, ma qual è il rischio di inserire l'input dell'utente nei commenti HTML? Penserei che codificare >
sarebbe sufficiente per prevenire eventuali attacchi. C'è un modo per eseguire JavaScript all'interno di un commento HTML? O un modo diverso per uscire dai commenti HTML senza >
?