У меня есть несколько вопросов, которые могут показаться очевидными или наивными. Но тем не менее, мне нужно знать на них ответы. Просто я слабо в этом разбираюсь, чтобы знать все очевидные для других вещи.

1. Я тут в Википедии прочитал и понял, что что активные XSS, что пассивные могут быть только при неправильной обработке пользовательского ввода (типа форумных HTML форматирований и адресов ссылок на предыдущую страницу). Т. е. тот случай, когда кто-то ломает и правит мне сам скомпилированный код на моём сервере - это не XSS. Других способов нет. Я правильно понял?

2. Организовать атаку можно, составив ссылку на любой метод действия моих контроллеров, просто добавив в ссылку скрипт и разместив эту ссылку на чужом сайте?

3. Ссылку из пункта 2 можно составить вообще любую, а не только на мои методы действий? Просто в этом случае невозможно будет хулиганить в контексте безопасности моего веб-приложения - т. е. нельзя будет прочитать куки, потом изменить пользовательские данные у меня в базе и прочее?

4. Чтобы защититься от пункта 2, достаточно фильтровать ТОЛЬКО ПОЛЬЗОВАТЕЛЬСКИЙ ВВОД (т. е., например, теги форматирования форумных сообщений, адреса ссылок на предыдущую страницу и т. п.)?

5. Пункт 3 уже не относится к безопасности моего веб-приложения - это уже рекомендация для пользователя не щёлкать на подозрительные ссылки на чужих сайтах?

6. Поясните, пожалуйста, сказанное в первом абзаце по ссылке . Если эта часть атаки является неспецифичной для пользовательского ввода, то как можно говорить о протаскивании скрипта в картинке? Эта картинка - уже часть сайта, а не пользовательского ввода? Тут уже речь идёт о взломе сайта и правке кода страниц на самом сервере, чтобы он потом рассылал все картинки со скрпитами?

7. Если я воспользуюсь методом Html.Encode, который сделает скрипт нерабочим, то это всё равно испортит мне внешний вид страницы? Т. е. Html.Encode - не панацея? А панацея - именно и только фильтрация тегов и атрибутов (например, с помощью HTML Agility Pack)?

8. Я придумал, что пользовательский ввод буду фильтровать с помощью HTML Agility Pack, вычищая все неразрешённые теги и атрибуты, а вывод - с помощью HTML кодирования. Как вы видите такой способ защиты от XSS?