Oh, da dove cominciare ...
Se c'è un principio di sicurezza che si rivela ancora e ancora e ancora è che le blacklist falliscono.
Gioca al lungo gioco: certo che la tua applicazione web possa resistere al numero limitato di attacchi che hai lanciato oggi, ma internet sarà in grado di provare migliaia di altre cose con migliaia di altre variabili (nuovo codice, diverso browser, set di lingue diverse, ecc. ecc. ecc.).
"L'input dell'utente che viene convalidato è sempre" - ti dice oggi. Cosa succede quando si passa e un altro sviluppatore eredita quel codice? Capiranno e onoreranno gli impegni che hai preso per te nella tua testa? Se inserisci la convalida e la codifica in uscita, dai al ragazzo successivo una possibilità di combattere.
Vai avanti e spoglia "" < script > ", cosa succede quando qualcuno invia" "< scr < script > ipt >" "?