Używam HTML Purifier do ochrony mojej aplikacji przed atakami XSS. Obecnie oczyszczam zawartość z edytorów WYSIWYG, ponieważ jest to jedyne miejsce, w którym użytkownicy mogą używać znaczników XHTML.

Moje pytanie brzmi: czy powinienem używać HTML Purifier także do nazwy użytkownika i hasła w systemie uwierzytelniania logowania (lub w polach wejściowych strony rejestracji, takich jak e-mail, imię i nazwisko, adres itp.)? Czy jest szansa na atak XSS?