Soy consciente de varias formas de prevenir los ataques XSS, como el escape y la codificación, que son propensos a problemas, y el uso de una Política de seguridad de contenido que requiere la extracción de todos los scripts. Sin embargo, las preocupaciones nos impiden utilizar una etiqueta html como <antiscript>
para evitar que el navegador ejecute cualquier script bajo este elemento en el árbol DOM, ya sea declarado directamente con <script>
o como un atributo de etiqueta como onmouseover
. dentro de estas etiquetas?
Al principio, parece que sería bastante fácil detectar a alguien que intenta salir de este contexto sin scripts porque la etiqueta </antiscript>
debería aparecer.