Javascript 这个可怕的XSS矢量在Internet Explorer中仍然是一个问题吗?
来自hi.baidu.com/monyer/blog/item/d0f5d8b48fc442758bd4b2a4.html 字符192<代码>不可用Javascript 这个可怕的XSS矢量在Internet Explorer中仍然是一个问题吗?,javascript,internet-explorer,xss,Javascript,Internet Explorer,Xss,来自hi.baidu.com/monyer/blog/item/d0f5d8b48fc442758bd4b2a4.html 字符192不可用 0xC0是UTF-8中2字节序列(0xC0-0xDF)的前32个字节之一。因此,当IE解析上面的代码时,它将考虑0xC0和下面的引用作为序列,因此这两对字体元素将成为与 XYZ[0xC0] > >不如果我正确地理解该漏洞,则在2006中被处理。p> Internet Explorer解码巧尽心思构建的UTF-8编码HTML的方式中存在远程代码执行漏洞。攻击
0xC0是UTF-8中2字节序列(0xC0-0xDF)的前32个字节之一。因此,当IE解析上面的代码时,它将考虑0xC0和下面的引用作为序列,因此这两对字体元素将成为与<代码> XYZ[0xC0] > >不
如果我正确地理解该漏洞,则在2006中被处理。p>
Internet Explorer解码巧尽心思构建的UTF-8编码HTML的方式中存在远程代码执行漏洞。攻击者可以通过构建巧尽心思构建的网页来利用该漏洞,如果用户访问巧尽心思构建的网站,该网页可能允许远程代码执行 @Karl我很感谢你的编辑,但我尽量避免链接到那个网站,因为它看起来有点破旧。我不确定这里链接到站点的规则。你认为应该是链接吗(诚实的问题)?这个页面确实有问题:)我不知道是否有任何规则,所以让我们不要链接它。可能是我不知道到底发生了什么。但是我在IE9中的JSFIDLE上试过这个,没有鼠标盖。+1谢谢你的回答。安全公告的日期为2006/06/13;文章日期为2006/08/7。此外,邮件列表中讨论相同漏洞的帖子也来自8月份。此外,最近一些科技博客上与XSS相关的聊天也提到了这个问题,引用了最初引用的文章。这使我怀疑这个问题是否已经得到解决。可悲的是,我没有一台Windows机器来测试这一点(我也不知道如何插入这些无效字节)。时间对我来说意味着这些文章是根据公告撰写的。