代码之家  ›  专栏  ›  技术社区  ›  Philip Pittle

XSS-哪些浏览器自动转义地址栏中的URL?

  •  7
  • Philip Pittle  · 技术社区  · 10 年前

    我一直在表演 / / 在我的 网站最近,并注意到 (即最新的FF和Chrome)正在逃避输入地址栏的URL。

    因此:

    http://example.com/search/?q= “><script>警报('hi');<!/script>

    发送到我的服务器:

    http://example.com/search/?q=%22%3e%3cscript%3ealert(%27hi%27)%3b%3c%2fscript%3e

    是否有一个所有(主要)浏览器的列表,可以做到这一点,也可以不做?移动浏览器会这样做吗?

    2 回复  |  直到 10 年前
        1
  •  2
  •   Community CDub    3 年前

    我认为所有的浏览器都逃避URL,除了那些有bug并且不遵循RFC的浏览器( RFC3986 ).

        2
  •  1
  •   Margus    10 年前

    如果我没弄错,你可以用 http://browsershots.org/ 或者类似的东西来测试它。

    示例测试: http://browsershots.org/requests/12461378