И на какие только трюки не идет атакующий, чтобы успешно провести эксплуатацию уязвимости XSS . Чего только стоит взрыв мозга после прочтения материалов Эдуардо Вела (Eduardo Vela) и Дэвида Линдсэй (David Lindsay) на тему реализации XSS-атак, представленных на прошедшей конференции BlackHat . Но время не стоит на месте, и мы продолжаем знакомиться с новыми векторами реализации XSS.
Используете Opera или Firefox 3.x? Тогда копипастим в адресную строку следующее:
data:text/html;base64,PHNjcmlwdD5hbGVydCgnWFNTJyk8L3NjcmlwdD4=
Вроде ничего страшного? Однако, подобная "фича" этих браузеров может реально использоваться "в живой природе" для проведения вполнее себе пригодной атаки Cross-Site Scripting.
ЗЫ: для тех же целей также работает следующая конструкция [javascript:window.location = "http://www.google.com/"k