Leggendo di XSS e delle sue contromisure dal link , si dice (nel secondo paragrafo del link) che:
[…] support for Unicode character sets by browsers could leave an application open to XSS attacks if the HTML quoting algorithms only look for known-bad characters.
Quindi, come si fa a sfruttare una pagina che cerca solo caratteri unicode noti male? Un esempio sarebbe molto apprezzato.
Un problema potrebbe essere quello se si assume che l'input sia in una codifica diversa rispetto al browser. (Se non si specifica al browser quale codifica utilizzare, la maggior parte dei browser tenta di indovinarlo).
Questo problema, per esempio, ha colpito la pagina 404 di Google .
Qui è stato sfruttato il fatto che IE indovina la codifica di una pagina come UTF-7 se trova una sequenza UTF-7 valida nei primi 4096 byte della risposta. Con la piccola pagina 404 di Google, questo può essere forzato da un utente malintenzionato.
Quindi, chiedi sempre al browser quale codifica usi. E la lista bianca è migliore della lista nera.