如果只是<被过滤,xss可能吗?在您在网站上发布评论的上下文中,然后将其显示给用户。如果是这样,我还没有看到任何这样的载体,我很想知道它是如何可能的。
答案 0 :(得分:1)
不确定;虽然漏洞需要知道如何使用数据,但这里有一个反例,显示了不需要使用<的“XSS攻击”。在这种情况下,服务器错误地构建了一个JavaScript代码块,例如var post = '$foo'; - oops!
<script>
var post = 'Imagine this was set ';HackIt();'on the server';
ShowPost(post);
</script>
(恶意数据为Imagine this was set ';HackIt();'on the server。)