xss攻撃に対してWebアプリケーションをテストしています。イベントのリストがあり、それぞれにコメント領域があるという点で、イベントの1つに、このスクリプトを挿入しました。
<script src=”http://www.example.com/malicious.js”></script >
イベントにはコメントがあるというフラグが表示されましたが、表示されていません。ここでの問題は、そのイベントをクリックするとアプリがクラッシュし、ブラウザに「ページの回復」が表示されることです。
しかし、Chromeでは、そのスクリプトを受け入れ、空のコメント( "")として表示しますが、クラッシュしないのはなぜですか?
IEでブラウザの設定をリセットしましたが、同じ問題が発生します。それは、Chromeがウイルスを処理していないため(わからない)、またはIEがウイルスを処理しているためですか?
そして、私はこのスクリプトを試しました、
<script >alert("Hello");</script >
どちらのブラウザも、クラッシュすることなく同じように動作します。
それで、そこで何が起こっているのかを教えていただけますか?