Esiste un modo possibile per scrivere un payload che può ignorare il filtraggio di '
, "
, <
e >
? Per quanto ne so, è javascript:alert()
in quanto non utilizza nessuno dei precedenti. Quindi dovrebbe funzionare se lo uso in un campo di input in cui tutti i caratteri sopra menzionati sono filtrati?
Ho un campo come questo:
<input type="text" name="name" value=''></input>
Ora devo chiudere la citazione a value
e inserire la mia stringa (ad esempio ' onload=javascript:alert()
), ma quella quota non viene visualizzata nell'origine della mia risorsa.