У меня небольшой веб-сайт с несколькими пользователями, в последнее время я копался в безопасности веб-сайтов и сталкивался с атаками xss. Я нашел лазейку, где в моем коде в результате самотестирования я мог создать имя пользователя как <b>username</b>, и оно было бы выделено жирным шрифтом. Теперь любое действие, предпринятое пользователем, отправляется на мой сервер для проверки, я явно запретил символы "<" & ">". Будет ли этого достаточно для предотвращения xss-атак?
Кроме того, мои текстовые поля очень ограничены (10 букв), хотя, я думаю, это можно обойти, вызвав функцию в chrome dev tools?
Будет ли это делать или есть что-то еще, что я должен знать? Обратите внимание, что этот сайт не содержит важных данных, которые могут быть украдены или взломаны, я просто хочу, чтобы они были полностью защищены, так как xss-атаки могут быть довольно неприятными и перенаправлять пользователей, а что нет, в конечном итоге я чувствую ответственность за то, что мой сайт работает по назначению.