|
Сообщение от bes
|
|
Ну и сделайте перед отправкой проверку на присутствие слова script в value
|
Этого недостаточно, так как скрипт можно вставлять не только с помощью элемента <script>, а ещё с помощью атрибута on...
Да если ещё проверку делать только на клиенте, то это не помешает хакерам обойти эту защиту.