La OWASP XSS Prevention Cheat Sheet tiene una lista de lugares donde los datos no confiables nunca deben estar poner:
<script>...NEVER PUT UNTRUSTED DATA HERE...</script> directly in a script <!--...NEVER PUT UNTRUSTED DATA HERE...--> inside an HTML comment <div ...NEVER PUT UNTRUSTED DATA HERE...=test /> in an attribute name <NEVER PUT UNTRUSTED DATA HERE... href="/test" /> in a tag name <style>...NEVER PUT UNTRUSTED DATA HERE...</style> directly in CSS
Entiendo por qué los datos no se deben colocar en los otros 4 lugares, pero ¿cuál es el peligro de poner comentarios del usuario en comentarios HTML? Pienso que la codificación >
sería suficiente para evitar ataques. ¿Hay una manera de ejecutar JavaScript dentro de un comentario HTML? ¿O una forma diferente de salir de los comentarios HTML sin >
?