В Chrome я получаю сообщение об ошибке Отказано в выполнении сценария JavaScript. Исходный код сценария обнаружен в запросе.
] после публикации данных, содержащих имя домена (также обратите внимание на отсутствие javascript на любой странице).
Если вы перейдете напрямую на badpage2.html
изображение будет отображаться, но если вы перейдете к нему через badpage1.html
, изображение не будет отображаться (базовый тег не работает).
Это ошибка в обнаружении Chrome XSS? А если нет, как бы это обойти? Кажется глупым кодировать опубликованные данные только для того, чтобы обойти этот фильтр.
РЕДАКТИРОВАТЬ:
В моем случае отправленное значение сообщения предназначено для обновления части содержимого страницы. Проблема возникает, если он содержит доменное имя, которое используется в
(как в этом примере), это вызовет обнаружение XSS, которое отключает
тег.