私はXSS領域にビットを掘るとJavaScriptで面白いものを見つけました:予想通りのjavascriptエンジンで機能やセキュリティの抜け穴
eval(\`// alert(document.cookie)\`)
は何もしませんが、
eval(\`// \r alert(document.cookie)\`)
は、トークンとの警告をポップアップ表示... \r
コメントを外してスクリプトを実行します。
は、IE11、EdgeおよびChromeでテストされていますが、すべて同じ動作をしています。
これは何か予想されますか?私は、問題として...
よろしく、 エフゲニー
私はこの問題を再現することができません:http://jsbin.com/tetocaj/1/edit?js,console,output – Quentin
それは引用符を食べました....あなたは ''にコードを入れましたか? – Evgeny
これはどういう質問か分かりません。 'eval'は渡されたJavaScriptを実行します。誰も 'eval'に渡された値に' // '接頭辞を付けません。これは' eval'の目的を打ち消します。あなたが見つけた正確なセキュリティホールは何ですか? – Dai