.setinterval 和 XSS
.setinterval and XSS
在OWASP XSS prevention cheat sheet中它说不受信任的数据不能安全地放在.setinterval JS函数中。就算escaped/encoded,XSS还是有可能的
但是如果我有这样的东西:
setInterval(function(){ alert('<%=UNTRUSTED_DATA%>'); }, 3000);
如果我 JS 编码 "UNTRUSTED_DATA",XSS 怎么可能?
有一个overload of setInterval接受一串代码而不是一个函数,基本上是exec一个区间
我相信这就是 OWASP 作弊 sheet 所指的,您可以将不受信任的字符串放入该重载中。您正在使用函数重载,这不是 OWASP 调用的函数。
在OWASP XSS prevention cheat sheet中它说不受信任的数据不能安全地放在.setinterval JS函数中。就算escaped/encoded,XSS还是有可能的
但是如果我有这样的东西:
setInterval(function(){ alert('<%=UNTRUSTED_DATA%>'); }, 3000);
如果我 JS 编码 "UNTRUSTED_DATA",XSS 怎么可能?
有一个overload of setInterval接受一串代码而不是一个函数,基本上是exec一个区间
我相信这就是 OWASP 作弊 sheet 所指的,您可以将不受信任的字符串放入该重载中。您正在使用函数重载,这不是 OWASP 调用的函数。