Entonces, estaba experimentando con XSS usando el carácter de nueva línea (% 0A). Así que llegué al vector habitual: '% 0Aalert (/ xss /) // y una cosa vino a mi mente. ¿Qué pasa si no puedes insertar una cotización?
Una nueva línea romperá la cadena para que pueda insertar código. Sin embargo, el error de sintaxis (cadena no terminada) evitará que el script se ejecute. ¿Hay alguna forma de evitarlo?
¡Gracias!
Podría terminar su elemento script y comenzar uno nuevo:
%0A</script><script>alert(/xss/)//
Todavía habrá un error de sintaxis en el script original (hasta ahora no se ejecutará ninguno de ellos), pero el agregado se ejecutará (incluido todo lo que venga después). Demo . Como puede ver, rechazar citas no es una defensa válida contra XSS, escapar es el camino a seguir.
(Y en caso de que te lo preguntes, el ataque es posible incluso si la llamada fue envuelta en una función o eval .)
Lea otras preguntas en las etiquetas xss javascript