Я читаю о предотвращении XSS и продолжаю работать в фразе ненадежных данных. Я понимаю, что это означает с точки зрения параметров URL, полей формы и файлов cookie. Однако я не понимаю, что подразумевается под этим в контексте ниже.Неверные данные и XSS
Например, document I am reading приведены некоторые примеры, как это:
<script>...NEVER PUT UNTRUSTED DATA HERE...></script> directly in a script
<!--...NEVER PUT UNTRUSTED DATA HERE...--> inside an HTML comment
<div ...NEVER PUT UNTRUSTED DATA HERE...=test /> in an attribute name
<NEVER PUT UNTRUSTED DATA HERE... href="/test" /> in a tag name
<style>...NEVER PUT UNTRUSTED DATA HERE...</style> directly in CSS
Какой тип ненадежных данных они говорят? Я не понимаю. Я использую скриптовые теги для локальных файлов javascript или ссылок на сайты CDN. Я использую теги комментариев, чтобы описать что-то в коде. Когда я помещаю ссылки в тег привязки, я знаю, куда идет ссылка. Неверные данные в имени атрибута? Я искал их, но не смог найти ничего, что очистило бы мою путаницу.