Ho notato che il seguente XSS memorizzato non viene eseguito, mentre nella console JS funziona:
<img src=0 onerror=alert(document.domain+": "+Date.now())>
Questo non richiede una finestra di avviso. Considerando quanto segue:
<img src=0 onerror=alert(Date.now())>
<img src=0 onerror=alert(document.domain)>
La conversione di uno qualsiasi degli elementi con String()
non aiuta neanche.
L'istruzione di avviso semplice ( alert(document.domain+": "+Date.now())
) funziona nella console Chrome JS, in Firefox funziona se aggiungo il punto e virgola alla fine.
Non sono certamente un mago JS, ma non vedo perché questo non funzioni.
Perché l'XSS iniziale tramite il tag immagine non funziona?