Неверные данные и XSS

Question

Я читаю о предотвращении XSS и продолжаю работать в фразе ненадежных данных. Я понимаю, что это означает с точки зрения параметров URL, полей формы и файлов cookie. Однако я не понимаю, что подразумевается под этим в контексте ниже.

Например, document I am reading приведены некоторые примеры, как это:

<script>...NEVER PUT UNTRUSTED DATA HERE...></script> directly in a script 

<!--...NEVER PUT UNTRUSTED DATA HERE...-->    inside an HTML comment 

<div ...NEVER PUT UNTRUSTED DATA HERE...=test />  in an attribute name 

<NEVER PUT UNTRUSTED DATA HERE... href="/test" /> in a tag name 

<style>...NEVER PUT UNTRUSTED DATA HERE...</style> directly in CSS 

Какой тип ненадежных данных они говорят? Я не понимаю. Я использую скриптовые теги для локальных файлов javascript или ссылок на сайты CDN. Я использую теги комментариев, чтобы описать что-то в коде. Когда я помещаю ссылки в тег привязки, я знаю, куда идет ссылка. Неверные данные в имени атрибута? Я искал их, но не смог найти ничего, что очистило бы мою путаницу.

Answer 1

С ненадежными данными они означают данные, поступающие от пользователя или другого ненадежного источника, который вы не можете контролировать. Типичным примером является URL-адрес, заканчивающийся на: /index.php?name=joe И после этого, используя этот параметр url, эхо на страницу: <! - имя: <? Php echo $ _GET ["name"]? > - >