Sul mio sito, se dovessi bloccare <script> dall'URL, ciò potrebbe impedire alcuni casi di XSS? In qualche modo qualcuno potrebbe ignorarlo?
Sul mio sito, se dovessi bloccare <script> dall'URL, ciò potrebbe impedire alcuni casi di XSS? In qualche modo qualcuno potrebbe ignorarlo?
Sì, può essere bypassato. Innanzitutto, molti filtri che tentano di rimuovere i tag <script> lo fanno in un modo che è facilmente sconfitto. Ad esempio, possono gestire in modo errato l'input come <scr<script>ipt> .
Ma anche se implementato "correttamente", ciò non è sufficiente, poiché i tag <script> non sono richiesti per eseguire Javascript su una pagina: possono essere utilizzati anche gestori di eventi, URI di script e URI di dati (notare che io sono incerto sul supporto del browser per gli ultimi due). Vedi la pagina XSS di OWASP per ulteriori informazioni.
E in XSS basato su DOM, potresti non essere affatto preoccupato per HTML, invece di riempire Javascript in un esecuzione affondare .
Leggi altre domande sui tag javascript xss