¿Cómo y por qué funciona el XSS que no distingue entre mayúsculas y minúsculas, dado que JavaScript distingue entre mayúsculas y minúsculas?

2

Encontré muchas instancias donde los scripts XSS como el siguiente trabajo:

<iMg SrC=x OnErRoR=window.location=123>

Dado que JavaScript es un lenguaje que distingue entre mayúsculas y minúsculas, ¿cómo puede el navegador identificarlo como código JavaScript y ejecutarlo?

    
pregunta Akshay 01.05.2016 - 12:51
fuente

1 respuesta

6
<iMg SrC=x OnErRoR=window.location=123>

Las partes de mayúsculas y minúsculas en su ejemplo no son el Javascript sino el HTML. Y HTML no distingue mayúsculas y minúsculas

<iMg     HTML img tag (i.e. image), case insensitive
SrC      src attribute for HTML img tag, case insensitive
OnErRoR  onerror attribute for HTML img tag, case insensitive

window.location=123  - Javascript, case sensitive
    
respondido por el Steffen Ullrich 01.05.2016 - 13:01
fuente

Lea otras preguntas en las etiquetas