ALERTA DE SPOILER: no continúes si no quieres que te echen a perder
Actualmente estoy haciendo el Nivel 2 del desafío XSS de Google .
Estoy inyectando el código XSS que se inserta en el documento usando element.innerHTML
. No entiendo por qué <script>alert("Foobar")</script>
no funciona, pero <img src="/" onerror = "alert(1);"
funciona.
He intentado buscar en el código fuente pero aún no entiendo por qué. Soy nuevo en XSS, por lo que le agradecería que hiciera referencia al código fuente al formular sus respuestas.