У меня есть сайт с гибким приложением. Приложение Flex не имеет пользовательского ввода - за исключением кликов для навигации. Веб-сайт также не использует скриптовый язык - т.е. нет php, asp, jsp или cfm.
Сайт состоит только из одной страницы, которая содержит флэш-файл для приложения flex. Исходный код этой страницы здесь: http://pastebin.com/n5b4RxqT
Мне сообщили (программа, используемая моим клиентом), что этот сайт уязвим для отражающей атаки типа XSS, и мне посоветовали "санировать" весь пользовательский ввод.
Я новичок в отношении XSS и с уважением хотел бы спросить, что AFAIK не вводится пользователем. Что я должен дезинфицировать и как?
Заранее спасибо