Может ли злоумышленник XSS использовать теги span, p, label ...

Question

Я знаю, что злоумышленники XSS используют текстовые поля для вставки скрипта в страницу. Я хочу знать, возможно ли использовать сценарий для элементов span , p , label в форме и внедрить его на страницу. Должны ли мы попытаться предотвратить эту атаку с помощью ярлыков?

Answer 1

Следует помнить, что уязвимости XSS возникают просто из-за того, что ненадежные, не проверенные и неэкранированные данные отображаются в любом месте веб-страницы.Это включает в себя JavaScript, CSS и буквально где угодно в теле HTML.

Не имеет значения, генерируете ли вы полные элементы HTML, просто устанавливая атрибуты, поскольку XSS легко вырваться из тега, для которого он предназначендля визуализации и вставки собственной разметки.

Answer 2

Любой элемент HTML подвержен атакам XSS, , особенно , если вы динамически генерируете элементы HTML из пользовательского ввода.

Answer 3

Примечание: если вы используете библиотеку пользовательского интерфейса, важно знать, будет ли пользовательский ввод, передаваемый компоненту пользовательского интерфейса, отображаться как HTML или как обычный текст - потому что вам нужно только избежать пользовательского ввода, который переданк компонентам, которые фактически визуализируют ввод в виде HTML.