Un colega me sugirió solo para evitar que aparezcan caracteres de letra inmediatamente después de un corchete de ángulo de apertura como una forma de protegerse contra la inyección de XSS y HTML.
Obviamente, esto no evita problemas como:
<img src="%injectable%" />
Pero no puedo pensar en una forma de evitar su sugerencia.
¿Es realmente tan simple?
Creo que tu ejemplo describe exactamente por qué no es tan simple. Existen muchas formas de XSS, y muchas de ellas no confían en que los atacantes inyecten etiquetas completas.
A lo que se refería Rook en su comentario es que generalmente debes confiar en un buen filtro XSS existente para lidiar con la amenaza en lugar de tratar de juntar uno, como parece sugerir tu colega.
La lista blanca de los caracteres es siempre la mejor práctica en lugar de los caracteres especiales de la lista negra. Había visto lo mismo con una de las aplicaciones que estaba evaluando. Entonces, encontré un parámetro de entrada que se mostró en respuesta en tres lugares diferentes. Uno de los cuales estaba dentro de "" en a-tags. No es de extrañar, XSS fue fácil allí. Y sí, ya mencionado, muchas de las cargas útiles no tienen que usar etiquetas en absoluto.
Lea otras preguntas en las etiquetas web-application html xss injection