Показать сообщение отдельно
Старый 17.03.2014, 22:03   #5
BlackFan
 
Аватар для BlackFan
 
Регистрация: 08.07.2010
Сообщений: 354
Репутация: 402
По умолчанию

Цитата:
Сообщение от NameSpace Посмотреть сообщение
BlackFan, В случае ошибки с Host document.domian какой образуется? Можно ли полноценно эксплуатировать XSS?
Насколько я помню - только шлется в заголвоках неправильный Host и Request-URI.
То есть мы можем сделать полноценную XSS в случае вывода чего-нибудь типа:
<%=request.getServerName()%>
<%=request.getRequestURI()%>

Но при этом в JS location.host, document.domain и location.pathname буду правильные.
BlackFan вне форума   Ответить с цитированием