He estado desarrollando una aplicación Webobjects, y descubrí que mi aplicación es vulnerable a XSS a través de la URL, pero no cuando la entrada maliciosa como <script>alert("hi")</script>
se ingresa en los campos de formulario.
Por lo tanto, actualmente he empleado una técnica de reescritura de URL en el servidor web apache para resolver este problema.
He manejado las siguientes palabras clave de javascript:
src
onload
onmouseover
onkeypress
onfocus
alert
No sé lo suficiente sobre XSS.
Quiero saber de los expertos aquí, ¿es este el enfoque correcto para resolver XSS cuando la entrada a los campos del formulario no muestra vulnerabilidad?
Por favor, sugiera.