Кавычка

Кавычка

2984
17 Авг 2018

Если у страницы не будет указан Content-Type (передаю привет старику HTTP/0.9) - браузер попытается сам определить содержимое. Тоже самое, если тип контента браузеру не будет знаком. Internet Explorer 8 (спи спокойно Windows XP), например, не признает application/json, поэтому HTML попавший в него также срендерится и XSS выполнится. В жизни этот браузер уже не встретить, но часто в BugBounty это принимают.

Для Chrome сниффинг HTML заработает, если первыми символами будет валидный HTML-тег. Например {"xss":""} — уже не пройдет.

Заголовок X-Content-Type-Options: nosniff в свою очередь отключает у браузера функциональность определения содержимого.

Другие посты по теме...

dance_malyshka_official dance_malyshka_official @dance_malyshka
​​Моя Виталина ❤️открыла свой канал в telegram 🎉🎊💃там будет очень много интересного ☺️посты о тренировках и питание🍴🏆 истории из нашей жизни 🙌Скоро там будет пост как мы с ней познакомились☺️
HACKER BOOK HACKER BOOK @Hacker_BooK
​📲MacroDroid - Автоматизация - с помощью этого простого приложения вы сможете автоматизировать большую часть своего смартфона. Делается это при помощи макросов, вы задаёте условие при котором будет происходить определенное...
Nopaytext💸 Nopaytext💸 @nopaytext
Друзья, хочу напомнить вам про свой второй проект @freechest, где я сливаю для вас лучшие и эксклюзивные курсы, тренинги и другие платные инфопродукты на различные тематики! Скоро там будет сделан небольшой ребрендинг,...
Бизнес на Youtube Бизнес на Youtube @youtubebiz
Оборудование для ютуб канала Вообще если вы хотите снимать что-то вживую, это самая лучшая стратегия, так как контент будет полностью принадлежать вам и это будет полностью белый канал. Сегодня я расскажу про бюджетное...
Russian Bit News Russian Bit News @BitRu
В Финляндии сразу 4 банка приостановили операции с крупнейшей финской криптобиржей Prasos Oy. "за прошедший год, из легального оборота на биржевых торгах по биткоину, выбыли значительные  объемы Евро, и теперь почти...