La domanda è quando il tipo di risposta della richiesta arriva come application / json e inoltre non è implementato alcun tipo di escaping / encoding allora è possibile eseguire xss lì? Il cambio dell'estensione del file sembra funzionare fino a Internet Explorer 9 e tutte le ricerche sui blog sono molto più vecchie. Qualcuno è a conoscenza del trucco per eseguire xss sulle ultime versioni di IE come 10 & 11
Hai già letto blog come link . Stanno sostenendo di essere lavorati fino a IE9
XSS è ancora possibile anche nelle versioni più recenti. Ma dipende da come viene usato il JSON. L'articolo a cui fai riferimento si preoccupa solo dell'esecuzione di JSON da solo, ovvero l'accesso a un documento JSON tramite un collegamento.
Non discute il caso quando restituisci JSON da una richiesta XHR e quindi includi i dati ricevuti direttamente con document.write o addirittura li interpreti con eval . In questo caso la piena fiducia nella validità di JSON XSS è ancora un problema. Nessuno sniffing del tipo di contenuto sarà fatto perché l'applicazione web all'interno del browser sa cosa dovrebbe ottenere e interpreterà il contenuto stesso, cioè non il browser renderà il contenuto.
XSS è anche possibile se il JSON è incluso in un tag script. In questo caso i browser accettano (quasi) tutti i tipi di contenuto e nessuno sniffing è fatto perché ancora una volta il browser sa già quale contenuto dovrebbe essere dal contesto.
Se il contenuto viene pubblicato in modo specifico con Content-type: application/json , credo che al momento non ci sia un modo noto per eseguire script all'interno della risposta. Come accennato, potrebbe essere possibile modificare il comportamento dei contenuti meno recenti che controllano i browser in base al payload, a meno che il contenuto non venga pubblicato in modo specifico con x-content-type-options: nosniff , che disabilita le funzionalità di sniffing del contenuto delle versioni precedenti di Internet Explorer.
Leggi altre domande sui tag internet-explorer xss