В настоящее время я узнаю о веб-безопасности, XSS и т. Д. Поскольку XSS в основном предназначается для клиента-агента (веб-браузера), внедряя некоторый вредоносный код, который выполняется веб-браузером, как он был вставлен аутентифицированным пользователем. Теперь возникает вопрос Почему у нас не может быть тега в html, который просто показывает литералы и предотвращает выполнение чего-либо внутри него?
Что-то вроде:
<!-- The code below will not be executed and just treated as literal content by a web browser -->
<ltrl>
<script type="text/javascript">alert('You have been xssed');</script>
</ltrl>
Так что, если бы у меня было что-то подобное в html, оно было бы показано как
<script type="text/javascript">alert('You have been xssed');</script>
в веб-браузере.