XSS-Filter Evasion des OWASP Cheat Sheet "& JavaScript enthält" erwähnt:& JavaScript enthält
https://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet#.26_JavaScript_includes
Das Beispiel bietet es sich wie folgt:
<BR SIZE="&{alert('XSS')}">
ich es auf jsfiddle mit Chrome versucht und Firefox und ich bekomme kein JS-Popup. Also an welchen Browsern/Versionen soll das funktionieren?
Die URL:
http://security.stackexchange.com/a/64926/56707 –
Es gibt ein Q & A darüber auf einer anderen SE-Website - [XSS-Technik - & JavaScript Include] (http://security.stackexchange.com/questions/64925/xss-technik-javascript-include) –