以下人员容易受到XSS攻击,尤其是在较旧的浏览器中:
<script type='text/javascript'>
document.write('<script src="' + 'someurl.com' + '&url=' + encodeURIComponent(document.URL) +'" type="text/javascript">' + '<\/script>');
</script>
我已经读到,当调用encodeURIComponent时,某些浏览器不能完全对每个字符进行编码,例如使用firefoxes实现:
https://developer.mozilla.org/en-US/docs/Web/JavaScript/Reference/Global_Objects/encodeURIComponent
var set2 = "-_.!~*'()"; // Unescaped Characters
console.log(encodeURI(set2)); // -_.!~*'()
是否有可能利用此代码段,尤其是在较旧的浏览器中?尤其是考虑到可能在每个页面上。