Компания, которая размещает наш сайт, просматривает наш код перед развертыванием - они недавно сообщили нам об этом:
Строки HTML никогда не должны подвергаться прямой манипуляции, так как это открывает нам к потенциальным отверстиям XSS. Вместо этого всегда используйте DOM api для создания элементы..., которые могут быть jQuery или прямой DOM apis.
Например, вместо
this.html.push( '<a class="quiz-au" data-src="' + this.au + '"><span class="quiz-au-icon"></span>Click to play</a>' );
Они говорят нам делать
var quizAuLink = $( 'a' );
quizAuLink.addClass( 'quiz-au' );
quizAuLink.data( 'src', this.au );
quizAu.text( 'Click to play' );
quizAu.prepend( '<span class="quiz-au-icon"></span>' );
Это правда? Может ли кто-нибудь дать нам пример атаки XSS, которая могла бы использовать HTML-строку, такую как первая?