是否有不同的方式来终止JavaScript中的字符串?XSS和其他方式来终止JavaScript字符串
我测试了XSS漏洞的服务器,并且我看到在HTTP响应下面的代码:
<script>
var myVar = "USER CONTROLLED STRING";
</script>
用户控制字符串来自网址和所有双引号之前被删除生成响应。除此之外,所有其他角色都是允许的。
XSS可能吗? (并且,是的,我知道在这里做适当的事情会根据OWASP XSS Prevention Cheat Sheet推荐的十六进制编码(\ xHH)所有非字母数字字符,但是从我测试人员的角度来看,我想知道我是否可以利用)