我刚刚收到一份安全报告,指出XSS漏洞指向一个JSONP调用,该调用可以在JSONP id上被利用:
http://<domain>/?callback=jQuery278364782634836_234}}7d1ef<script>alert(1)<%2fscript>13c10&_=14531234
据我理解,这是不可能的,因为id是由jQuery生成的。有人能举例说明如何在生产场景中恶意地注入吗?
我刚刚收到一份安全报告,指出XSS漏洞指向一个JSONP调用,该调用可以在JSONP id上被利用:
http://<domain>/?callback=jQuery278364782634836_234}}7d1ef<script>alert(1)<%2fscript>13c10&_=14531234
据我理解,这是不可能的,因为id是由jQuery生成的。有人能举例说明如何在生产场景中恶意地注入吗?