Supponiamo che la tua app web stia disinfettando l'input e visualizzando all'utente l'input errato. Prima che la misura XSS fosse messa in atto, l'app web sputava script dannosi così come sono. Ad esempio Valore indirizzo errato: <script>bad script goes here </script>
Ora, dopo un'attenta produzione di disinfezione potrebbe essere qualcosa del genere. Cattivo indirizzo: input igienizzato. Se l'input fosse, diciamo, non script come! @ # $ Street, restituirebbe l'indirizzo errato:! @ # $
Pensi che l'uso di parole sterilizzate sia troppo ovvio per la stringa di output che è dannosa. Immagino che gli utenti normali non lo vedranno. Ma i cattivi sono i soli che vedranno sterilizzati. Oppure l'app non dovrebbe dire nulla se sanifica l'input. O dovrebbe sostituire alcuni dei tag di script non validi con qualcosa di diverso. Qual è la migliore pratica del settore più nota qui?