Come e perché funziona senza distinzione tra maiuscole e minuscole, dato che JavaScript è sensibile al maiuscolo / minuscolo?

Question

Come e perché funziona senza distinzione tra maiuscole e minuscole, dato che JavaScript è sensibile al maiuscolo / minuscolo?

#1 da (6 voti)

2

Ho trovato molti casi in cui agli script XSS piace il seguente lavoro:

<iMg SrC=x OnErRoR=window.location=123>

Dato che JavaScript è un linguaggio sensibile al maiuscolo / minuscolo, in che modo il browser è in grado di identificarlo come codice JavaScript ed eseguirlo?

javascript xss

posta Akshay 01.05.2016 - 12:51

fonte

1 risposta

Leggi altre domande sui tag javascript xss

utilizzando websocket html5 per aggirare il criterio TCP del firewall Perché Telegram non utilizza la crittografia end-to-end? [chiuso]

score 6 · Accepted Answer

<iMg SrC=x OnErRoR=window.location=123>

Le parti di maiuscole e minuscole nel tuo esempio non sono il Javascript ma l'HTML. E HTML non fa distinzione tra maiuscole e minuscole

<iMg     HTML img tag (i.e. image), case insensitive
SrC      src attribute for HTML img tag, case insensitive
OnErRoR  onerror attribute for HTML img tag, case insensitive

window.location=123  - Javascript, case sensitive