Есть код (часть):
document.getElementById('chat').innerHTML = document.getElementById('chat').innerHTML + httpRequest.responseText;
httpRequest.responseText - текст, отправленный юзром, фильтров нет, как реализовать xss, чтобы работала в FF? <script>alert()</script> и прочие банально не пашут .. в опере пашет <img src="javascript:alert()">, но это в опере .. нужен ФФ)
Пробовал в <script> указать language?
Врядле конечно, но малоли... В старых версиях IE JS не работал без language Такчто может и ff такойже капризный...
Пробовал в <script> указать language?
Врядле конечно, но малоли... В старых версиях IE JS не работал без language Такчто может и ff такойже капризный...
Тоже облом ..
-------------- ладно, перефразируем вопрос
Код:
.....
<div id="chat">
<script>
function botReport(httpRequest)
{
if (httpRequest.readyState == 4)
{
if (httpRequest.status == 200)
{
document.getElementById('chat').innerHTML = document.getElementById('chat').innerHTML + httpRequest.responseText;
document.body.scrollTop = 99999;
}
}
}
......
Как модифицировать код, чтобы была нормальная xss? document.write() не предлагать, он перезаписывает документ ..