03.07.2008, 14:04
|
|
Постоянный
Регистрация: 30.12.2006
Сообщений: 434
Провел на форуме:
849583
Репутация:
210
|
|
чтобы код выполнялся, нужно поместить МЕТА-тег
Помню даж на старом античате статья была...
кстати вот она:
http://old.antichat.ru/txt/utf7/
прочти и всё поймёшь
Ты бы сам-то прочитал бы эту статью!
Следует отметить, что распознавание кодировки, парсинг HTML тегов, и выполнение встретившихся скриптов происходит одновременно. Таким образом, если кодировка еще не определена, и встречается скрипт, зашифрованный в некоторой кодировке, например UTF-7, то браузер считает, что кодировка документа UTF-7, расшифровывает и выполняет скрипт, и только затем парсит оставшуюся часть документа. При этом, даже если впоследствии окажется, что кодировка иная (например встретился метатег с явным указанием кодировки, или были обнаружены русские буквы), скрипт все равно выполнится
Где там в примерах помещается МЕТА-тег???
Там просто закрываеться </title> - под видом +ADw-/title+AD4 и вставляеться javascript код
Но вопросы:
1) Но я и на локалхосте пробую без фильтрации например так
Цитата:
<html>
<head></head>
<body>
+ADwA-script+AD4A-alert('hacked+ACEA-')+ADwA-/script+AD4A-
</body>
</html>
Алерта нет...
Я смотрел заголовки - никакой передачи значения кодировки в HTTP Content-Type
Как именно нужно указать что текст в кодировке UTF-7?
Переводил редактором AnyCode, а дальше просто скопировать полученный текст?
Или ИЕ уже по другому обрабатыает кодировки?
2) Есль ли такие же способы, но с другими кодировками
напр UTF-16 ?
Последний раз редактировалось Naydav; 03.07.2008 в 14:17..
|
|
|