Estoy haciendo una prueba de un sitio web que tiene un XSS reflejado, o al menos un vector para una reflexión, pero el problema es el siguiente:
- Escapa a
<
,>
,"
a sus entidades HTML, pero no a&
,)
o(
. - No estás en una etiqueta, así que debes crear la tuya propia.
No es la primera vez que veo implementaciones de este tipo. Express.js tiene esto por defecto, por ejemplo. ¿Están las implementaciones como estas a salvo de XSS?