Il mio vettore di attacco viene passato in tre contesti.
- Elemento HTML:
<p>injection</p>
- Valore dell'attributo HTML:
<input value="injection">
- Javascript:
<script> var a = "injection"; </script>
In tutti questi contesti, il mio carico utile è reso come valori codificati in HTML (virgolette singole, virgolette, parentesi angolari). Sono consapevole che questo praticamente esclude lo sfruttamento XSS attraverso i primi due contesti, ma il terzo contesto è anche sicuro?
OWASP guida gli sviluppatori su javascript per sfuggire ai dati non attendibili prima di inserirli in contesto javascript che non è il caso qui. C'è comunque da bypassare questo?