我刚刚收到一份安全报告,指出XSS漏洞指向一个JSONP调用,该调用可以在JSONP id上被利用:
http://<domain>/?callback=jQuery278364782634836_234}}7d1ef<script>alert(1)<%2fscript>13c10&_=14531234
据我理解,这是不可能的,因为id是由jQuery生成的。有人能举例说明如何在生产场景中恶意地注入吗?
我刚刚收到一份安全报告,指出XSS漏洞指向一个JSONP调用,该调用可以在JSONP id上被利用:
http://<domain>/?callback=jQuery278364782634836_234}}7d1ef<script>alert(1)<%2fscript>13c10&_=14531234
据我理解,这是不可能的,因为id是由jQuery生成的。有人能举例说明如何在生产场景中恶意地注入吗?
我刚刚收到一份安全报告,指出XSS漏洞指向一个JSONP调用,可以在JSONP ID上加以利用</ p>
http:// <domain> /?callback = jQuery278364782634836_234}} 7d1ef <script> alert(1)<%2fscript> 13c10&_ = 14531234
</ code> </ pre>
据我所知,这是不可能发生的,因为id是由jQuery生成的。 有人可以举例说明如何在生产场景中恶意注入吗?</ p>
</ div>