和JavaScript包括

neu*_*ert 8 javascript xss owasp

OWASP的XSS Filter Evasion Cheat Sheet提到"&JavaScript includes":

https://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet#.26_JavaScript_includes

它提供的示例如下:

<BR SIZE="&{alert('XSS')}">

Run Code Online (Sandbox Code Playgroud)

我在jsfiddle上尝试使用Chrome和Firefox,但我没有获得JS弹出窗口.那么应该在哪些浏览器/版本上工作呢？

网址:

http://jsfiddle.net/rL1z32xb/

您需要打破Netscape 4的副本才能重现它.

较新版本的Netscape(以及所有其他浏览器)不允许使用该&运算符.

归档时间：	10 年前
查看次数：	509 次
最近记录：	10 年前

多个箭头函数在javascript中意味着什么？ 401

jQuery .ready在动态插入的iframe中 181

Node.js创建文件夹或使用现有文件夹 173

React JS onClick事件处理程序 107

JavaScript中的"for-in"循环中是"var"还是没有"var"？ 95

为什么TypeScript中的'instanceof'给我错误"'Foo'只引用一个类型,但在这里被用作值."？ 60

如何在Redux中更新状态后触发回调？ 59

如何获取javascript对象引用或引用计数？ 54

但是经过10年的努力,为什么浏览器DOM仍然如此缓慢？ 45

是否有可能XSS利用适当的JavaScript字符串转义来利用JSON响应 39

可以在JSON中使用注释吗？ 7104

jQuery滚动到元素 2196

如何在Bash中的分隔符上拆分字符串？ 1885

如何一致地跨浏览器对齐复选框及其标签 1668

如何从列表中随机选择一个项目？ 1656

禁用Chrome缓存以进行网站开发 1563

如何使用Bash将stdout和stderr重定向并附加到文件中？ 1440

表命名困境:奇异与多个名称 1404

jQuery获取特定的选项标签文本 1211

如何在PHP中进行重定向？ 1201