Considere el siguiente código:
<select>
<option>ANY VALUE</option>
</select>
Los usuarios de mi sitio web tienen la capacidad de agregar etiquetas de opción a una lista que puede tener cualquier valor insertado en ella. Agregar etiquetas a esta lista no es efectivo, ya que muestra la cadena literalmente cuando se encuentra en la lista de opciones.
En la especificación HTML, el contenido permitido de una etiqueta de opción es solo datos de caracteres normales.
¿Hay algún valor que un usuario malintencionado pueda insertar para lanzar un ataque XSS usando esto?