現在、XSS予防についての調査を行っていますが、DOMベースの攻撃については少し混乱しています。私がこのテーマについて読んだ論文のほとんどは、値がサーバー側のコードではなくJavaScriptによってページにレンダリングされた場合に、DOMを変更するURLパラメータを通じてJavaScriptを注入する例を示しています。最新のブラウザでは、DOMベースのXSS攻撃はまだ可能ですか?
しかし、現代のブラウザはすべて、JavaScriptによってレンダリングされるとURLパラメータで指定されたすべての特殊文字をエンコードしているようです。
DOMベースのXSS攻撃は、IE6などの古いブラウザでない限り実行できませんか?
私は不思議です - この質問はなぜ投票されたのですか? –