Sto eseguendo la scansione del codice HTML prima che raggiunga un browser e ho appena sentito un tipo di exploit che utilizza sequenze UTF7 o UTF8 non valide per incorporare un tag script altrimenti invisibile, che viene utilizzato per eseguire codice arbitrario.
Non ho mai visto una sequenza del genere e sono curioso di sapere com'è, in modo da poter eseguire una semplice chiamata strstr per individuarli.
Grazie per l'aiuto.
La prima linea di difesa dovrebbe essere l'input di sanitizzazione. In altre parole, assicurati di accettare solo valido UTF-8 o qualsiasi altro formato che ti aspetti.
Il percorso della sostituzione delle stringhe si basa sull'elenco nero. La lista nera è sempre un passo indietro e, a causa di ciò, non funzionerà. La tua seconda linea di difesa (dopo la disinfezione) dovrebbe invece essere White-listing.
Forse il seguente link ti aiuterà:
È un cheatsheet che contiene molti esempi XSS tra cui quelli UTF.
Leggi altre domande sui tag unicode javascript