Re: I så fall
"Om det är som du säger att det kan hamna en massa elakt jox överallt om man kör HTML så är det väl bättre om man kör märkningar om man kan det."
Det går att säkra en inmatningssida så att man kan tillåta viss ofarlig HTML, men det krävs en jefla massa jobb. Nu vet jag inte om utvecklarna har gjort det jobbet, men man kan ju hoppas i alla fall.
"Men om det står att HTML är aktiverat, fast man inte skriver nått, kan det hamna en massa elakt jox på fel ställen då också?"
Nej. Risken för anfall kan ske i samband med inskrivandet (då man lägger in attack-scriptet), inte i efterhand. Jag har ett antal papper på ämnet här på jobbet och använder dem för att försöka knäcka applikationen som jag bygger.