Mi vector de ataque se está pasando en tres contextos.
- elemento HTML:
<p>injection</p> - valor de atributo HTML:
<input value="injection"> - Javascript:
<script> var a = "injection"; </script>
En todos estos contextos, mi carga útil se representa como valores codificados en HTML (comillas simples, comillas dobles, corchetes angulares). Soy consciente de que esto prácticamente descarta la explotación de XSS a través de los dos primeros contextos, pero ¿es el tercer contexto también seguro?