Encontré que los personajes; Se filtran < y > (se muestran como: < y > ), cuando realizo una prueba de la pluma para un sitio web.
¿Hay algún método para omitir < y > ?
< y > son las formas correctas de mostrar los caracteres < y > en un contexto HTML.
(Hay lugares donde el simple hecho de escapar <>&" no es suficiente ; por ejemplo, valores de atributos no citados, o JavaScript anidado dentro de HTML. ¿Tiene eso?)
Por lo general, usaría el término "omitir" cuando sabe / sospecha que hay una vulnerabilidad, pero otra cosa se está interponiendo en la forma de explotarla. Por ejemplo, cuando una aplicación no logra escapar de < correctamente a < pero tiene un filtro de entrada cojo que le impide escribir <script ; Hay varias formas posibles de solucionar este tipo de medidas dependiendo de cómo esté estructurado el código.
Pero, por lo que ha dicho, no hay evidencia de que exista alguna vulnerabilidad presente. Mostrar < de la entrada del usuario como < es exactamente lo que esperaría de una aplicación generadora de HTML escrita correctamente.
Lea otras preguntas en las etiquetas xss