está convirtiendo '' a '<' ¿Es suficiente para evitar la ejecución de JavaScript desde HTML arbitrario?

Dentro del elemento, el modo de análisis está en estado de datos. Los únicos caracteres especiales que pueden escapar del estado de los datos son < y & ( enlace sec .8.2.4.1).

Si reemplazas todas las instancias de < con < , solo necesitas preocuparte por & .

En HTML4 y XML, deberías considerar qué referencias de entidad están disponibles para ser reemplazadas, y si alguna de ellas podría usarse para inyectar un script u otro vector de ataque. Esto podría ser un problema, por ejemplo, si el marcado se refiere a una DTD externa y el atacante puede redirigir una descarga de red de la DTD externa a una de su elección. Esta es una de las razones por las que muchos analizadores XML y HTML no van a la red para resolver los identificadores del sistema.

Sin embargo, HTML5 solo permite que & se use para entidades de caracteres, ninguna de las cuales puede usarse para escapar del modo de datos.

Por lo tanto, en ausencia de errores en el analizador y en el marcado, su conocimiento es correcto.

Depende de dónde se impriman los datos dentro del documento HTML, ya que hay diferentes contextos dentro de diferentes reglas . Reemplazar un < literal por < solo es viable cuando < es un carácter especial, lo que cambiaría el estado de análisis actual.

Hay una descripción general rápida de reglas de prevención en XSS (Cross Site Scripting) de OWASP Hoja de trucos para la prevención , que debería darte una pista de lo que debes saber.

Depende de muchos factores.

Si la entrada maliciosa (toda la entrada del usuario es maliciosa por defecto) se refleja solo en su cuerpo HTML y su servidor envía los encabezados "Tipo de contenido: texto / html; conjunto de caracteres = utf-8" y "Contenido X" Tipo-Opciones: nosniff ", la respuesta es sí, este método es lo suficientemente seguro.

Cuando digo cuerpo HTML, supongo que estás haciendo eco de la entrada a <html><body>INPUT_HERE</body></html>.

Si acaba de transmitir la entrada a una página en blanco, sin unos pocos bytes antes de la entrada, se puede usar el ataque de Rosetta Flash.

Esta es una muy mala práctica. Estás manteniendo una lista negra. Pero la forma recomendada es mantener una lista blanca que proporcione solo los caracteres permitidos después de un filtro.

La respuesta a tu pregunta es, < puede codificarse en hexadecimal y escribir en otros esquemas codificados. Entonces, simplemente reemplazar < con < no sería adecuado.

¿Dónde estás analizando el < ? Si está en el cliente, entonces solo tiene quizás detenido un hacker de diez años ( pero no este hacker de diez años ).

Sin embargo, si está analizando el código ejecutable del lado del servidor, entonces sí, efectivamente detuvo esta forma particular de inyección, aunque hay formas más completas y seguras de hacer esto.

Quizás me esté perdiendo la esencia de tu pregunta, así que si simplemente estás preguntando si puedes reemplazar todas las instancias de < con (cualquier otra cosa), entonces la respuesta es sí. Sí, de forma predeterminada, esto evitará que todas las etiquetas de javascript se analicen y ejecuten porque la entidad de caracteres < no se procesa cuando se carga el DOM.

Aquí hay una referencia para cumplir con lo que puede pedir. Dejé mi primer bit arriba porque todavía es importante.