potenzialmente pericolosi Tag HTML:
Anche se non è un elenco esaustivo, i seguenti tag HTML di uso comune potrebbe consentire a un utente malintenzionato di inserire codice script:
<applet>
<body>
<embed>
<frame>
<script>
<frameset>
<html>
<iframe>
<img>
<style>
<layer>
<link>
<ilayer>
<meta>
<object>
Un utente malintenzionato può utilizzare attributi HTML come src, lowsrc, style e href in combinazione con i tag precedenti per iniettare script cross-site. Ad esempio, l'attributo src del tag può essere una fonte di iniezione, come mostrato nei seguenti esempi.
<img src="javascript:alert('hello');">
<img src="java
script:alert('hello');">
<img src="java
script:alert('hello');">
Un utente malintenzionato può anche utilizzare il tag per iniettare uno script modificando il tipo MIME come mostrato di seguito.
<style TYPE="text/javascript">
alert('hello');
</style>
fonte
2015-08-28 13:36:48
Abbiamo risposto entro tre secondi l'uno dall'altro. Ciao, Newman. –