Я слышал, как все говорят, что кодирование вывода должно выполняться на стороне клиента, а не на стороне сервера. Мой вопрос: разве это не зависит от контекста?Как можно обойти шифрование на стороне клиента в XSS
- Существуют ли случаи, когда кодирование выходного сигнала на стороне клиента является достаточно хорошим и не может быть обойден?
- Если я использую функцию js на стороне клиента, например
encodeURIComponent
, чтобы кодировать URL-адрес, вызывающий XSS, как злоумышленник может обойти это и по-прежнему вызывать XSS? - Фишинг также может произойти из-за XSS. Если я, по крайней мере, выводя кодирование, можно предотвратить фишинг?
Можете ли вы предоставить еще несколько контекстов? Кодирование на стороне клиента XSS, что теперь? – deceze