Il mio vettore di attacco viene passato in tre contesti.
- Elemento HTML:
<p>injection</p> - Valore dell'attributo HTML:
<input value="injection"> - Javascript:
<script> var a = "injection"; </script>
In tutti questi contesti, il mio carico utile è reso come valori codificati in HTML (virgolette singole, virgolette, parentesi angolari). Sono consapevole che questo praticamente esclude lo sfruttamento XSS attraverso i primi due contesti, ma il terzo contesto è anche sicuro?
OWASP guida gli sviluppatori su javascript per sfuggire ai dati non attendibili prima di inserirli in contesto javascript che non è il caso qui. C'è comunque da bypassare questo?