OWASP的XSS过滤器逃避速查表提到“&JavaScript includes”:
https://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet#.26_JavaScript_includes
它提供的示例如下:
<BR SIZE="&{alert('XSS')}">
我在jsfiddle上使用Chrome和Firefox进行了尝试,但没有看到JS弹出窗口。那么,这应该在哪些浏览器/版本上运行?
网址:
http://jsfiddle.net/rL1z32xb/
最佳答案
您需要分解Netscape 4的副本才能复制它。
较新版本的Netscape(和所有其他浏览器)不允许使用&运算符。