标签: javascript jquery ajax jsonp xss
我刚收到一份安全报告,指出XSS漏洞指向一个可以在JSONP ID上利用的JSONP调用,
http://<domain>/?callback=jQuery278364782634836_234}}7d1ef<script>alert(1)<%2fscript>13c10&_=14531234
根据我的理解,这是不可能发生的,因为id是由jQuery生成的。有人能举例说明如何在生产场景中恶意注入这些内容吗?