当网页无法清理用户提供的输入或验证输出时,攻击者就可以伪造自己的有效负载,并通过易受攻击的字段将恶意HTML代码注入应用程序,从而修改网页内容,甚至获取一些敏感数据。
如果是html的页面,那么就很安全,从页面途径不可能破解和攻击.但是,攻击你的站点并不是只有从页面这个途径的.所以,这个时候攻击你的服务器才是主要途径.那个和html没关系了.你想隐藏源文件的话,倒是可以,首先使用以js输出html的方式去写成脚本嵌入页面,然后使用packer或是min方式将js代码压缩混淆.但是这种方式只能防止别人看你源码的时候没那么轻松.如果真想看你的源码,一样会有方法的.一种方式就是解密你的js脚本,另一种方式就是从浏览器端获取html代码,因为浏览器只能解释明文的html代码,虽然,这个时候获取到的html和你的源码稍微有点出入.
如果怕攻击,写成html倒是不错的途径,这个时候只要关注服务器端的安全就行了,因为一般的黑客只停留在连接注入的阶段,能有气候攻击服务器的黑客少之又少.
是不是需要写成jsp看需要了,如果有需要动态更新的,你就需要编程了.就像刚才所提的,写成动态语言的就增加了被攻击的几率,你要保证代码的安全才行