Кодировка XSS атаки (</script>) не работает в IE

Question

при выполнении ниже URL в IE, я получаю сообщение с предупреждением:

URL : https://test.com/test?path=valid</script><svg/onload=alert(window.location.href)>

, но то же самое работает нормально в Chrome (без предупреждения).

Для Chrome, когдаЯ проверяю инструменты разработчика, URL идет в закодированном формате.Как применить кодировку в IE и предотвратить атаку XSS.

Answer 1

Перед выполнением URL вы можете закодировать URL с помощью функции encodeURI () .

Чтобы предотвратить атаку XSS, вы можете попробовать включить фильтр XSS браузера IE, откройтев настройках Internet Explorer, в зоне безопасности Internet нажмите «Custom level ...», затем включите фильтр XSS.Подробнее о XSS-фильтре см. эту тему .