Я пытаюсь понять, зачем мне использовать библиотеку XSS
, когда я могу просто сделать HtlEncode
при отправке данных с сервера на клиент...?
Например, здесь, в редакторе Stackoverflow.com, все, что нужно сделать элементу SO, — это сохранить введенные пользователем данные и отобразить их с кодировкой html.
Таким образом, никогда не будет тега HTML, который будет выполняться.
Я, вероятно, ошибаюсь здесь, но не могли бы вы опровергнуть мое утверждение или объяснить?
Например :
Я знаю, что тег IMG, например, может иметь onmouseover
, onload
, которые пользователь может выполнять вредоносные скрипты, но IMG не будет запускаться в браузере как IMG, поскольку это <img>
, а не <img>
Итак - где проблема?