Mi chiedo se possiamo considerare l'iniezione di tag HTML come a
, image
, img
, video
, audio
, marquee
o iframe
senza un attributo evento come XSS ? Poiché non è coinvolto alcun JavaScript e quindi non è incluso ed eseguito alcun codice JavaScript. Ma una risorsa (esterna) viene caricata o nel caso del tag marquee
viene attivata un'animazione (spesso rovinando il modello). Così come per a
-tag il rischio di poter includere URL cliccabili.
Quindi è un'iniezione HTML puro (anche se si rompe qualcosa come un campo di input) considerata come XSS valido e quale sarebbe la motivazione per spiegare che è XSS valido?
Alcuni esempi:
-
"><marquee>123
-
"><img src=http://example.com/a.jpg
-
<a href=//example.com>123</a>