En mi sitio, si tuviera que bloquear <script>
de la URL, ¿podría esto prevenir algunos casos de XSS? De alguna manera alguien podría pasar por alto eso?
En mi sitio, si tuviera que bloquear <script>
de la URL, ¿podría esto prevenir algunos casos de XSS? De alguna manera alguien podría pasar por alto eso?
Sí, se puede omitir. Primero, muchos filtros que intentan eliminar las etiquetas <script>
lo hacen de una manera que es fácilmente derrotada. Por ejemplo, pueden manejar incorrectamente entradas como <scr<script>ipt>
.
Pero incluso cuando se implementa "correctamente", eso no es suficiente, porque las etiquetas <script>
no requieren ejecutar Javascript en una página: también se pueden usar controladores de eventos, URI de script y URI de datos (tenga en cuenta que soy No estoy seguro acerca de la compatibilidad del navegador para los dos últimos). Consulte la página XSS de OWASP para obtener más información.
Y en XSS basado en DOM, es posible que no esté preocupado por el HTML, en lugar de rellenar Javascript en una ejecución fregadero .
Lea otras preguntas en las etiquetas xss javascript