IE、FF、クロームのようにXSS攻撃
<img src="javascript:alert('yo')" />
現在のバージョンではないからである。一部の古いブラウザでは、XSS攻撃に対して脆弱です
任意のブラウザでは、同様の攻撃に対して脆弱である場合、私は好奇心:
<img src="somefile.js" />
または
<iframe src="somefile.js" />
または他の類似somefile.jsは、いくつかの悪意のあるスクリプトが含まれています。
番イメージを攻撃する見つけることができます。 srcがJavaScriptリンクである場合、JavaScriptは実行されますが、srcへの要求から来るデータの基本的な読み込みはJavaScriptを伴わない。
iframeについてはどうですか?上記はそれにも当てはまりますか? – jmishra
いいえ、JavaScriptも実行されません。 –
すべての主要なブラウザは、依然としてこれらの攻撃に対して脆弱です。 RSnakeのXSSチートシートのために例えばIMGタグを使用する方法の トンの周りに残っている。.. ...
<img src='#' onerror=alert(1) />
見て、それらはいくつかのベクトルです。ところで、彼は彼のチートシートの新しいバージョンがまもなく登場すると聞いてきました。ここ
あなたには、いくつかのXSSのデータではJavaScriptとして実行されることはありませんベクトル http://ha.ckers.org/xss.html
新鮮なリンク[XSSフィルター回避のチートシート](https://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet) – mazenovi
「自分で試してみてください」とはどうですか? – Piskvor
IE、FF、Chromeの現代版でやりました。古いブラウザーを持っていないので、私が求めていたのです。 – Matthew