tag:blogger.com,1999:blog-4444008401857088382.post5254096118923205055..comments2023-10-14T14:38:26.602+02:00Comments on OWASP Sweden: Douglas Crockford om XSSJohn Wilanderhttp://www.blogger.com/profile/12586406716617551079noreply@blogger.comBlogger1125tag:blogger.com,1999:blog-4444008401857088382.post-40967941067344619182010-07-12T11:08:46.516+02:002010-07-12T11:08:46.516+02:00Nästan all XSS är JavaScript injection i HTML body...Nästan all XSS är JavaScript injection i HTML body via script-tag eller onEvent-handlers. Att helt förbjuda JS (och andra aktiva komponenter) i bodyn och kräva att handlers sätts i headern (via jQuery().ready eller dylikt) skulle göra de flesta XSS sårbarheter till ganska lama ankor. Kanske 80% av alla XSS sårbarheter skulle begränsas till att bara kunna förstöra utseende / textinnehåll med en så enkel regel.Peter Magnussonnoreply@blogger.com