私が見たほとんどすべてのXSS緩和ガイドでは、次のパターンが言及されています。
<img src="javascript:evil();">
これはどのような正当な使用法である可能性がありますか?JSコードを使用して、base64でエンコードされた表現などを生成できますか?
2 に答える
1
正当な用途はあまりありません。
それが機能する方法は、おそらくそこで任意のプロトコルを使用できるためであり、一部のブラウザーjavascriptは、複数の場所から呼び出すことができる疑似プロトコルを実装しています。
于 2012-09-30T05:54:52.633 に答える
1
正当な使用法についてはわかりませんが、一部のブラウザー(通常は古いブラウザー)はJavaScriptを実行します。OWASPXSSフィルター回避チートシートを参照してください。
于 2012-09-30T05:55:05.297 に答える