Для защиты XSS, мне нужно выйти перед заполнением для редактирования

Question

У меня есть зараженный текст, с которым я тестирую.

В режиме отображения я получаю данные из базы данных и отображаю их на странице, и получаю XSS, как и ожидалось.

В режиме редактирования я использую ту же форму, что и для первоначального ввода, и заполняю значение из базы данных в поля ввода (в данном случае текстовое поле), но я не получаю XSS. Это нормально? Не являются ли данные полей формы восприимчивыми к XSS, поскольку текст отображается внутри поля формы? поэтому нет необходимости в защите XSS, которую я использую на обычном дисплее?

Кстати, конкретный XSS, с которым я тестирую, таков. Я получил это из шпаргалки для XSS на хакерах , первом.

';alert(String.fromCharCode(88,83,83))//";alert(String.fromCharCode(88,83,83))//\";alert(String.fromCharCode(88,83,83))//--></SCRIPT>">'><SCRIPT>alert(String.fromCharCode(88,83,83))</SCRIPT>

Answer 1

Пример.

</TEXTAREA><SCRIPT>alert(String.fromCharCode(88,83,83))</SCRIPT>

Answer 2

Нет, поля формы являются допустимыми для XSS, поэтому вам также необходимо экранировать их

Образец шаблона:

<input type="text" name="foo" value="{$value}" />

Пример значения:

" /><script>alert(123);</script><input attr="

Результат:

<input type="text" name="foo" value="" /><script>alert(42);</script><input attr="" />