Выполнить код JavaScript внутри iframe "src", который уже содержит текст

Question

Я настроил приложение для тестирования различных способов выполнения XSS-атак, оно добавит все, что я напишу в текстовое поле, в дополнение к значению iframe src.

Но src уже содержит строку внутриэтогоПоэтому, если я напишу что-то вроде javascript: alert ('123'), окончательный вариант iframe src будет выглядеть следующим образом <iframe src="blahblahjavascript:alert('123')>

Есть ли способ выполнить код javascript внутри этого iframe?(экранировать src?)

Попытка добавить \ n, закрыть кавычки, добавить специальные символы utf.

Answer 1

В целом, позволить пользователям изменять исходный код iFrame не кажется безопасным, если не избежать результата (по крайней мере).С точки зрения атак XSS, вы должны предполагать, что каждый пользовательский ввод опасен и обрабатывать его соответствующим образом.Никогда не доверяйте тому, что отправляет вам клиент.Никогда не доверяйте никаким пользовательским данным.Всегда предполагайте, что пользовательский ввод и отправленные вам вещи опасны и обрабатывают соответствующим образом.

Не имеет значения, является ли он источником iFrame или чем-то еще.Смысл в том, чтобы избежать всего.

Что если я введу "><h1>XSS</h1><iframe src=" в ваше текстовое поле?Будет ли ваш ввод выглядеть как <iframe src="blahblah"><h1>XSS</h1><iframe src=""> или что-то подобное?

Если это так, я мог бы просто вместо этого поместить тег сценария и сделать его намного хуже.