ну по иддее например все символы типа "<" и ">" должны всегда заменяться на "<" и ">"при выводе. Но вот если проверка использует устаревшую библиотеку, которая напиример с новыми кодировками плохо работает, то она может эти символы пропустить, а это прямой путь для выполнения <script> в чужом браузере.
по новым стандартам у символов < и > появились синонимы?
по чему по новым? просто символы < > использовать опасно, так как они могут быть интерпретированы как теги например.
Обсуждают сегодня