Что здесь может происходить?
Ну, не видя исходного кода, все, что мы можем сделать, это спекулировать.Возможно, это может быть способ разработчика кодировать выходные данные на стороне сервера.Точно так же, как мы часто конвертируем " в " для предотвращения XSS, они могут делать что-то, где они конвертируют это в ”, если есть пробел справа, и “, если есть пробел дляосталось создать "модные" цитаты.
Я бы попробовал такие полезные данные, как это:
test%22%20test - test" test - изменилось ли это, чтобы закрыть котировку? test%20%22test - test "test - изменилось ли оно на открытую котировку? %22te%22st%22 - "te"st" - что случилось со средней цитатой?Есть ли разница в поведении?test%22%0atest - test"\ntest" - изменилось ли использование новой строки что-нибудь?test%5c%22test - test\"test" - изменился ли обратный слеш?%22%22%22%22%22%22%22%22 - """""""" - какие цитаты были закодированы?что произойдет, если я использую больше / меньше цитат.чет / нечет.и т. д.
Это отчасти зависит от ответов на эти вопросы, но если все кавычки закодированы (независимо от того, превращаются ли они в причудливые кавычки в юникоде или становятся "e;), это может просто не произойти.можно получить XSS, если вы «пойманы в ловушку» в строке.
В будущем, возможно, будет полезно включить вывод HTML (при необходимости анонимизировать).