J'ai récemment effectué quelques xss/javascript-injection/penetration-testing sur mon site asp.net récemment et j'ai remarqué que les web-browser modernes (c.-à-d. Les derniers FF et Chrome) échappent aux URL entrées dans la barre d'adresse.XSS - Quels navigateurs échappent automatiquement aux urls dans la barre d'adresse?
Alors:
http://example.com/search/?q= « > < script> alert ('salut'); </script>
est envoyé à mon serveur comme:
http://example.com/search/?q=%22%3e%3cscript%3ealert(%27hi%27)%3b%3c%2fscript%3e
Y a-t-il une liste de tous les navigateurs (principaux) qui font cela et ceux qui ne le font pas? Les navigateurs mobiles le font-ils?
savez-vous quel RFC de main? –
Selon RFC3986 http://tools.ietf.org/html/rfc3986 '2.4. Une fois produit, un URI est toujours dans sa forme codée en pourcentage. »Et où« query »peut contenir codé, ALPHA, DIGIT ou quelques autres non-servis. "<" and ">" ne sont aucun d'entre eux, ils DOIVENT être codés. Dans l'autre côté, un navigateur buggé (vous savez que je veux dire IE) a accepté incorrectement le caractère Unicode dans la version précédente. –
Cela me semble un peu étrange. Le RFC a presque 10 ans, mais aucun des exemples sur XSS que j'ai vu n'a jamais mentionné que FF et Chrome sont généralement immunisés contre les mauvais liens car ils échappent correctement aux URL et c'est seulement un problème d'IE. Je ne dis pas que c'est faux, mais avez-vous d'autres preuves? –