Voglio eseguire l'escape per XSS in un contesto html e finora considero i caratteri ,> e " Apparentemente si consiglia di evitare anche la e commerciale, ma perché? (Oltre a mantenere valido l'html , supponiamo che questo non è un problema)Cross Site Scripting (XSS): Devo uscire dalla e commerciale?
Quindi quello che chiedo è: quando scappo <,> e", qualcuno può dimostrare come la e commerciale può ancora consentire un attacco XSS in un contesto HTML?
Cheers!
esempio interessante, applausi Quello che ho cercato.! doveva iniettare questo nel codice HTML: < script type = "text/javascript" > Il che non ottenere eseguito, howerver visualizzati come "
si utilizza & concatenare params nella URL:
Reflected XXS:
codice script viene iniettato nella URL, che la pagina web riflette alle vittime
fonte
2012-02-03 05:44:43 Adrian
Down-elettore dovrebbe spiegare la sua visione sono d'accordo con questa risposta +1 – tusar