Se hai un file HTML che contiene il seguente codice:
<!doctype html>
<html lang="en">
<head>
<meta charset="UTF-8">
</head>
<body>
<script type="text/javascript">
var a = '</script><script>alert("xss")</script>'
</script>
</body>
</html>
quando lo si apre in un browser, incorpora (?) l'avviso "xss".
- Questo comportamento normale per i browser (nel mio caso l'ultimo di Chrome) è interpretare le stringhe JavaScript come tag validi?