но подобные атаки уже существуют и совсем не зависят от XMLHTTPRequest.

у было решено, что с помощьюXMLHTTPRequestдля выполнения вызовов XML не должны делать вызовы через границу домена? Вы можете извлечь JavaScript, изображения, CSS, iframes и любой другой контент, который я могу придумать, из других доменов. Почему ...

Или, если Javascript используется каким-либо образом для изменения пользовательского ввода в целях графического интерфейса. Я столкнулся с уязвимостью XSS, которая сначала кодировала <> в <и> ... но когда перешла к этой функции, их снова заменили! Итак ... я полагаю, что это ваша профилактика XSS. :)

не волнуют другие виды атак. Просто хочу знать, может ли HTML Encode предотвратить все виды XSS-атак. Есть ли способ выполнить XSS-атаку, даже если используется HTML Encode?

Как предотвратить XSS с HTML / PHP?

Как предотвратить XSS (межсайтовый скриптинг), используя только HTML и PHP? Я видел множество других постов на эту тему, но я не нашел статьи, в которой бы четко и кратко говорилось, как на самом деле предотвратить XSS.

Лучший способ обеспечить безопасность и избежать XSS с помощью введенных пользователем URL

У нас есть приложение с высоким уровнем безопасности, и мы хотим, чтобы пользователи могли вводить URL-адреса, которые будут видеть другие пользователи. Это создает высокий риск взлома XSS - пользователь может потенциально ввести javascript, ...

Функция фильтрации XSS в PHP

Когда лучше всего дезинфицировать ввод пользователя?

Пользователь не заслуживает доверия. Никогда не доверяйте ненадежным данным пользователя. Я понимаю. Тем не менее, мне интересно, когда наилучшее время для д...

Какой самый лучший метод для дезинфекции ввода пользователя с помощью PHP?

Есть ли где-нибудь функция-ловушка, которая хорошо работает для дезинфекции пользовательского ввода для SQL-инъекций и XSS-атак, но при этом допускает определенные типы HTML-тегов?