Información de fondo
- La aplicación responde a la solicitud a una URL en particular con content-type: application/json
- La respuesta JSON contiene un parámetro de la solicitud
- Escapa de la cita con una barra inclinada
- No hace una evaluación en respuesta
- Responde a solicitudes que no tienen
X-Requested-With: XMLHttpRequest
(es decir, si pegas directamente la URL con parámetros en la barra de direcciones)
Pregunta:
¿Hay alguna manera de hacer un XSS exitoso en la aplicación?
Por favor, siéntase libre de editar la pregunta si no está clara