IDG har i en artikel tagit upp farorna med XSS (Cross-Site Scripting) som många webbplatser verkar ignorera. Det står i artikeln att JSP och PHP saknar inbyggt skydd för detta. Underförstått har största konkurrenten (Microsoft .NET) ska ha inbyggt skydd. Det stämmer bra, att ASP.NET reagerar på "farliga" postbacks, och genererar ett felmeddelande. Dock vill man ofta i sina applikationer låta användaren skicka alla tecken, även < och > och då stängs detta skydd av (det är väldigt enkelt). Då måste man ändå skydda sig själv, vilket man naturligtvis ALLTID ska göra.
Detta skydd man gör själv, handlar om att se till att användargenererad kod inte hamnar i presentationslagret. Användaren ska (nästan) kunna posta html-kod och liknande. Det bäddar för XSS (Cross-Site Scripting). I ASP(.NET) är det enkelt att köra Server.HtmlEncode på utdata som kommer från användaren, och på så vis är man skyddad. Jag kan bara gissa att både PHP och JSP har liknande metoder för att säkra upp webbplatser.
07f5ed73-0cff-4896-ad54-6c5012fa1958|0|.0