Recientemente he leído artículo de Ned Batchelders sobre los ataques de XSS de UTF-7 . Probé sus ejemplos , pero no conseguí que ningún ataque UTF-7 funcionara en los navegadores modernos. Probé versiones recientes de Firefox, Chrome y Safari hasta ahora.
Sé que Chrome tiene algunos mecanismos de prevención de ataques XSS, pero según mi experiencia, Firefox tiene un mecanismo más "generoso" para ejecutar javascript, incluso cuando está roto. Sin embargo, ninguno de estos navegadores parece seleccionar el conjunto de caracteres UTF-7. de forma predeterminada, si el sitio lo usa (pero no lo declara explícitamente)
Entonces: ¿Alguien sabe por qué esto ya no funciona? Parece que el mecanismo de detección de UTF-7 ha cambiado, tal vez incluso por razones de seguridad. ¿Pueden los ataques UTF-7 seguir dirigiéndose a los navegadores modernos si no hay forma de cambiar la declaración del juego de caracteres dentro del documento o manipular los encabezados?