Estoy probando una aplicación que solo omite los símbolos <
y >
. La entrada del usuario que se valida siempre se inserta entre etiquetas html como <b>
, <span>
, <div>
, etc. y nunca se pasa a la página como un atributo. ¿Es suficiente protección o hay una manera de evitar este tipo de filtro?
Ejemplo:
<a href="http://www.site.com" style="color:white">
UserInput
</a>
Saludos.