xss

Hola, estaba implementando en primer lugar la seguridad ante ataques de xss... y queria saber mas para poder bloquear la inseguridad de mi web

Hay alguna manera de que el xss se infiltre en un formulario de logeo con sesiones? o tambien cuando paso variables con url? y como solucionarlo o al menos reducir ese ataque?

Comencé poniendole htmlspecialchars a los datos que mando por POST , al menos con esto evito de que me pongan metatags. Pero lei en un blog que estos pueden ser anulados con html no estandar... que quiere decir esto? creo que es en el caso de URLs.

bueno espero algun comentario para poder seguirlo... saludos

Si usas htmlspecialchars() no pueden poner etiquetas algunas. Porque los signos '<' y '>' se reemplazan por sus entidades HTML, por lo tanto el codigo dentro de estas no se va a ejecutar.

En el caso de pasar variables por URL, ¿que tipo de comprobaciones haces antes de hacer, por ejemplo, una consulta con esa variable?

Hola gracias por tu respuesta, bueno quizas no este muy seguro por lo de las url, tengo un caso en un formulario de intranet en donde un usuario responde un mensaje.... y con un boton llamo a una funcion js asi:
ojo que esto aparte de reenviar el mensaje lo registra y luego lo mostrara, por eso mi preocupacion de la seguridad en caso del xss.


function response() {
var codigo = document.frmdetalle.codoculto.value; /*un textbox oculto que tiene un id*/
pagina="citas_reenvia.php?urlcod="+codigo;
document.location=pagina;
//Envía el formulario
return true;
}

Disculpa si me equivoco pero como te menciono quizas esto no se afecte con el xss, pero me gustaria saber en que caso puede ser atacado un URL y tambien en caso de un logeo porque lei por ahi que puede atacar cookies y sesiones, eso es cierto?