Ho una pagina HTML con questo bit di codice al suo interno:
<div>
<div id="login-container"
class="login-container">
<login-page params="{"redacted":"redacted"}"></login-page>
</div>
Quindi, dove dice redatto, ci sono molti parametri, e uno di essi è modificabile usando un parametro URL, il che significa che posso cambiare questo parametro nell'URL in abc e metterà abc in quelle parentesi JSON. Usando questo, ho scoperto che non filtra correttamente le parentesi graffe, il che significa che in questo parametro posso inserire le parentesi graffe che sono analizzate come una nuova area JSON all'interno delle parentesi già presenti.
È difficile da spiegare, ma ad esempio, posso impostare il parametro URL "{test}", e quei parametri sopra saranno simili ai seguenti (supponendo che una delle aree redatte sia l'output del parametro URL:
{"redacted":"{test}"}
Sembra che essere in grado di inserire qui le mie parentesi JSON dovrebbe consentirmi di eseguire il mio codice JSON, ma è possibile, e c'è qualche rischio associato al fatto che non filtrano le parentesi?
Grazie