Przykład do rozdziału 3.5. - cross site scripting. Uruchom plik form.html i w formularzu wprowadĽ jeden z poniższych przykładów:


Przykładowe teksty, które można wprowadzić do formularza form.html:

Znacznik IMG i atrybut src. Nie zadziała na IE 7.0 i FF 2.0, na starszych może:

Znacznik BODY, nie przefiltrowany zawsze zadziała:

Mutacja nr 1 przykładu z BODY:

Mutacja nr 2 przykładu z BODY:

Mutacja nr 3 przykładu z BODY:

Kod XSS nie musi uruchamiać się przy ładowaniu, może być przemycony po jakiejs akcji użytkownika, np. kliknięciu w link. Oto Przykład ze znacznikiem A i atrybutem href, obydwa mog± być legalne, ale nieprzefiltrowany protokół javascript może spowodować XSS:

I tak dalej... Przykłady można mnożyć prawie w nieskończonosc...