¿Cómo y por qué funciona el XSS que no distingue entre mayúsculas y minúsculas, dado que JavaScript distingue entre mayúsculas y minúsculas?

Question

¿Cómo y por qué funciona el XSS que no distingue entre mayúsculas y minúsculas, dado que JavaScript distingue entre mayúsculas y minúsculas?

#1 de Steffen Ullrich (6 votos)

2

Encontré muchas instancias donde los scripts XSS como el siguiente trabajo:

<iMg SrC=x OnErRoR=window.location=123>

Dado que JavaScript es un lenguaje que distingue entre mayúsculas y minúsculas, ¿cómo puede el navegador identificarlo como código JavaScript y ejecutarlo?

xss javascript

pregunta Akshay 01.05.2016 - 12:51

fuente

1 respuesta

Lea otras preguntas en las etiquetas xss javascript

¿Alguna vez puede estar 100% seguro de haber descifrado un mensaje? Enviando paquetes de forma segura sin que sean falsificados

score 6 · Accepted Answer

<iMg SrC=x OnErRoR=window.location=123>

Las partes de mayúsculas y minúsculas en su ejemplo no son el Javascript sino el HTML. Y HTML no distingue mayúsculas y minúsculas

<iMg     HTML img tag (i.e. image), case insensitive
SrC      src attribute for HTML img tag, case insensitive
OnErRoR  onerror attribute for HTML img tag, case insensitive

window.location=123  - Javascript, case sensitive