这个可怕的 XSS 向量在 Internet Explorer 中仍然是一个问题吗？

Question

来自 hi.baidu.com/monyer/blog/item/d0f5d8b48fc442758bd4b2a4.html

字符 192 是 不是 可用< /字体>

0xC0 是 UTF-8 中 2 字节序列 (0xC0-0xDF) 的前 32 个字节之一。所以当 IE 解析上面的代码时，它会将 0xC0 和后面的引号视为一个序列，因此这两对 FONT 元素将成为 "xyz[0xC0]"> 而不是 < ;font face=" 作为 FACE 参数的值。第二个 0xC0 将启动另一个 2 字节序列作为 NOTEXIST 参数的值，该参数不带引号。由于引号后面有空格，所以 0xE0-0xEF这是 3 字节序列的第一个字节，加上后面的引号和一个空格字符将被视为 NOTEXIST 参数的值。

本质上，某些字节指示 UTF-8 字符串中 3 字节字符的开始。这些字节进入网页后，即使生成的三个字节不能构成有效的 UTF-8 字符，IE 也会耗尽接下来的两个字节。 HTML 属性中的引号，造成 XSS 风格的破坏

这篇文章是关于 IE6 的，所以我有两个紧密耦合的问题：

1. 在更高版本的 IE 中这仍然是一个问题吗？
2. 如果是这样，是否有纯粹的客户端方法来避免它？换句话说，假设从服务器收到“中毒”字符串，客户端是否可以采取任何措施来防止此漏洞？

Answer 1

如果我对该漏洞的理解正确的话，它已于 2006 年在 Microsoft 安全公告 MS06 中得到解决-021。

Internet Explorer 解码特制 UTF-8 编码 HTML 的方式中存在远程执行代码漏洞。攻击者可以通过构建特制网页来利用此漏洞，如果用户访问特制网站，该网页可能允许远程执行代码。