Sto ripetendo un sito web che ha un XSS riflesso, o almeno un vettore per un riflesso, ma il problema è il seguente:
- Esce
<
,>
,"
alle loro entità HTML, ma non&
,)
o(
. - Non sei in un tag, quindi devi crearne uno tuo.
Non è la prima volta che vedo implementazioni di questo tipo. Express.js ha questo di default per esempio. Le implementazioni come queste sono al sicuro da XSS?