La inyección XSS invalida la etiqueta de redirección de meta

4

Al inyectar en la parte url de un redireccionamiento HTML META como este:

<meta http-equiv='refresh' content='0;URL=$URL'

donde $ URL (tenga en cuenta las comillas que faltan) es la parte que puedo inyectar, ¿hay alguna forma de invalidar la metaetiqueta para que no se redirija inmediatamente y en su lugar ejecute el JS inyectado? Ya intenté volver a inyectar el atributo de contenido con un tiempo de redireccionamiento diferente, pero al menos para Chrome, esto no funciona.

    
pregunta Stefan 04.11.2015 - 00:22
fuente

1 respuesta

2

Parece como usar algo como: javascript:alert(1); como la URL, luego cerrar la metaetiqueta y abrir una nueva etiqueta de script para los trabajos XSS.

    
respondido por el Stefan 04.11.2015 - 00:32
fuente

Lea otras preguntas en las etiquetas