¿Es posible ejecutar xss cuando la respuesta es de tipo de contenido: aplicación / json en el último IE? [duplicar]

XSS todavía es posible incluso en versiones más nuevas. Pero depende de cómo se use el JSON. El artículo al que hace referencia se preocupa solo por la ejecución de JSON por sí mismo, es decir, acceder a un documento JSON a través de un enlace.

No discute el caso cuando devuelve JSON desde una solicitud XHR y luego incluye los datos recibidos directamente con document.write o incluso lo interpreta con eval . En este caso, la plena confianza en la validez del JSON XSS sigue siendo un problema. No se realizará el rastreo del tipo de contenido porque la aplicación web dentro del navegador sabe lo que debe obtener e interpretará el contenido en sí, es decir, no el navegador rendirá el contenido.

XSS también es posible si el JSON se incluye con una etiqueta de script. En este caso, los navegadores aceptan (casi) todos los tipos de contenido y no se realiza el rastreo porque, una vez más, el navegador ya sabe cuál debería ser el contenido del contexto.

Si el contenido se sirve específicamente con Content-type: application/json , entonces creo que actualmente no hay una forma conocida de ejecutar el script dentro de la respuesta. Como mencionó, puede ser posible manipular el comportamiento de los navegadores de inspección de contenido más antiguos según la carga útil, a menos que el contenido se sirva específicamente con x-content-type-options: nosniff , lo que desactiva las funciones de detección de contenido de versiones anteriores de Internet Explorer.