我最近在xss网站上执行了一些javascript-injection / penetration-testing / asp.net,注意到现代web-browser(即最新的FF和Chrome)正在转移输入地址栏的网址。
所以:
http://example.com/search/?q=“><脚本>警报( '喜');< /脚本>
以:
的形式发送到我的服务器http://example.com/search/?q=%22%3e%3cscript%3ealert(%27hi%27)%3b%3c%2fscript%3e
是否存在执行此操作的所有(主要)浏览器以及不执行此操作的浏览器的列表?移动浏览器会这样做吗?
答案 0 :(得分:1)
我认为所有浏览器都会逃脱网址,除了那些有bug但没有关注RFC(RFC3986)。
答案 1 :(得分:1)
如果我没弄错的话你可以用http://browsershots.org/或类似的东西来测试它。