Sono a conoscenza di vari modi per prevenire gli attacchi XSS, come l'escaping e la codifica, che sono soggetti a problemi e che utilizzano una politica di sicurezza dei contenuti che richiede l'estrazione di tutti gli script. Tuttavia, ciò che ci preoccupa ci impedisce di utilizzare un tag html come <antiscript>
per impedire al browser di eseguire qualsiasi script sotto questo elemento nell'albero DOM, sia direttamente dichiarato con <script>
o come attributo di tag come onmouseover
, all'interno di questi tag?
A prima vista, sembra piuttosto facile rilevare qualcuno che cerca di uscire da questo contesto non di scripting perché il tag </antiscript>
dovrebbe apparire.