J'utilise un purificateur HTML pour protéger ma demande d'attaques XSS. Actuellement, je purifie le contenu des éditeurs WYSIWYG, car c'est le seul endroit où les utilisateurs sont autorisés à utiliser XHTML Markup.
Ma question est, devrais-je utiliser un purificateur HTML également sur le nom d'utilisateur et le mot de passe dans un système d'authentification de connexion (ou sur les champs d'entrée de la page d'inscription tels que le courrier électronique, le nom, l'adresse, etc.)? Y a-t-il une chance d'attaquer XSS là-bas?
4 Réponses :
Vous devez purifier tout ce qui sera éventuellement affiché sur une page. Parce que avec des attaques XSS, des pirates informatiques mettent dans