我在浏览器中输入:example.com/139189/john-doe?asf"><script>alert(2)</script>das=23
在模板中我有这个:<meta property="og:url" content="<?php echo 'example.com' . $_SERVER['REQUEST_URI']; ?>"/>(在一个地方我有类似的行,但是:...... urlencode($_SERVER['REQUEST_URI']))
在页面源上看起来像这样(即浏览器正在执行URL编码):<meta property="og:url" content="http://example.com/139189/john-doe?asf%22%3E%3Cscript%3Ealert(2)%3C/script%3Edas=23"/>
问题是:在这种情况下,某人如何进行XSS攻击?我在网上看到我也应该使用htmspecialchars()。在这种情况下,XSS攻击是否依赖于浏览器?
另外,我读了https://www.owasp.org/index.php/XSS_(Cross_Site_Scripting)_Prevention_Cheat_Sheet#XSS_Prevention_Rules_Summary,在我看来,我的情况是在表格的第三行。