在我看过的几乎所有XSS缓解指南中,都提到了以下模式:
<img src="javascript:evil();">
这可能有什么合法用途?你能用JS代码生成base64编码的表示吗?
答案 0 :(得分:1)
它没有很多合法用途。
它的工作方式可能是因为你可以使用任何协议,有些浏览器实现了javascript伪协议,可以从多个地方调用。
答案 1 :(得分:1)
我不知道合法用途,但有些浏览器(通常是较旧的浏览器)会执行JavaScript。 See the OWASP XSS Filter Evasion Cheat Sheet