¿Existe una forma posible de escribir una carga útil que pueda omitir el filtrado de '
, "
, <
y >
? Por lo que sé, es javascript:alert()
ya que no utiliza ninguno de los anteriores. Entonces, ¿debería funcionar si lo uso en un campo de entrada donde se filtran todos los caracteres mencionados anteriormente?
Tengo un campo como este:
<input type="text" name="name" value=''></input>
Ahora tengo que cerrar la cotización en value
y colocar mi cadena (por ejemplo, ' onload=javascript:alert()
), pero esa comilla simple no aparece en la fuente de mi recurso.