Я выполнил некоторые xss / javascript-injection / penetration-testing в моем asp.net недавно заметил, что современные web-browser (т. е. последние версии FF и Chrome) пропускают URL-адреса ввел в адресную строку.
So:
http://example.com/search/?q=">‹script>alert(' привет');‹/сценарий>
отправляется на мой сервер как:
http://example.com/search/?q=%22%3e%3cscript%3ealert(%27hi%27)%3b%3c%2fscript%3e
Есть ли список всех (основных) браузеров, которые это делают, и тех, которые этого не делают? Делают ли это мобильные браузеры?