potencialmente peligrosas HTML Etiquetas:
Aunque no es una lista exhaustiva, las siguientes etiquetas HTML de uso común podría permitir que un usuario malintencionado inyecte código de secuencia de comandos:
<applet>
<body>
<embed>
<frame>
<script>
<frameset>
<html>
<iframe>
<img>
<style>
<layer>
<link>
<ilayer>
<meta>
<object>
Un atacante puede usar atributos HTML como src, lowsrc, style y href junto con las etiquetas anteriores para inyectar scripts de sitios cruzados. Por ejemplo, el atributo src de la etiqueta puede ser una fuente de inyección, como se muestra en los siguientes ejemplos.
<img src="javascript:alert('hello');">
<img src="java
script:alert('hello');">
<img src="java
script:alert('hello');">
Un atacante también puede utilizar la etiqueta para inyectar un script cambiando el tipo MIME como se muestra en la siguiente.
<style TYPE="text/javascript">
alert('hello');
</style>
Respondimos dentro de tres segundos el uno del otro. Hola, Newman. –