Sto lavorando a un'applicazione web singola. Sto facendo il rendering creando direttamente i nodi DOM. In particolare, tutti i dati forniti dall'utente vengono aggiunti alla pagina creando nodi di testo con document.createTextNode("user data")
.CreateTextNode è completamente sicuro da HTML injection & XSS?
Questo approccio evita qualsiasi possibilità di iniezione HTML, cross site scripting (XSS) e tutte le altre cose malvagie che gli utenti potrebbero fare?
Non ho dimestichezza con PHP. Questo esempio consente all'utente di richiedere dati da altrove e di inserirlo come testo nella pagina? –
@breischl - Il PHP prende input dalla stringa di query dell'URL (che è dati esterni) e lo rilascia nell'output senza fuggire. – Quentin
Ma sarebbe comunque prodotto come testo normale, indipendentemente da cosa ci fosse dentro, giusto? Quindi non potevi fare nulla nel browser, a parte la visualizzazione di un testo? –