Escaneo HTML antes de que llegue a un navegador, y acabo de enterarme de un tipo de exploit que usa secuencias UTF7 o UTF8 no válidas para incrustar una etiqueta script que de otra forma sería invisible, que se usa para ejecutar código arbitrario.
Yo nunca he visto tal secuencia y siento curiosidad por su aspecto, por lo que puedo hacer una llamada strstr simple para localizarlos.
Gracias por cualquier ayuda.
Tu primera línea de defensa debe ser el saneamiento de entrada. En otras palabras, asegúrese de que solo acepta válido UTF-8 o cualquier otro formato que esté esperando.
La ruta de reemplazo de cadenas se basa en una lista negra. La lista negra siempre está un paso atrás y, debido a esto, no funcionará. Su segunda línea de defensa (después de la desinfección) debería ser en su lista blanca.
Lea otras preguntas en las etiquetas javascript unicode