Un collega mi suggerì solo per evitare che i caratteri delle lettere si presentassero immediatamente dopo una parentesi angolare di apertura come modo per proteggersi dall'iniezione XSS e HTML.
Ovviamente, questo non impedisce problemi come:
<img src="%injectable%" />
Ma non riesco a pensare ad un modo per aggirare il suo suggerimento.
È davvero così semplice?
Penso che il tuo esempio descriva esattamente perché non è così semplice. Esistono molte forme di XSS e alcune di esse non si basano su hacker che iniettano interi tag.
Ciò che Rook stava ottenendo nel suo commento è che generalmente si dovrebbe fare affidamento su un buon filtro XSS esistente per affrontare la minaccia piuttosto che provare a crearne una propria, come suggerisce il collega.
White: l'elencazione dei personaggi è sempre la migliore pratica al posto dei caratteri speciali con l'elenco nero. Avevo visto la stessa cosa con una delle app che stavo valutando. Quindi, ho trovato un parametro di input che mostrava risposta in tre diversi posti. Uno dei quali era all'interno di "" in un tag. Non c'è da stupirsi, XSS è stato facile lì. E sì, già detto, molti dei payload non devono usare i tag.
Leggi altre domande sui tag html web-application xss injection