Да, браузеры улучшают защиту от атак XSS.Но, пожалуйста, НИКОГДА не упускайте пользовательский ввод.Например, тактика атаки XSS, которая все еще работает.
- Экранирование тегов HTML.
[пример] У вас есть сайт поисковой системы с профилем, который другойлюди могут видеть ваши сохраненные поиски.[/ example]
Когда ваши пользователи имеют возможность сохранять результаты поиска и делиться ими с другими пользователями, а пользователь сохраняет этот результат: " /> <iframe src=[malware]></iframe> " /> закрывает тег и делает егоможно ввести код хакеров после него.Возможность воровать сессии, вставлять изображения или перенаправлять пользователя на другой веб-сайт.
Это всего лишь небольшой пример, который все еще работает, есть еще много.Попробуйте сами!
Подробнее: http://heideri.ch/jso/#html