现代浏览器中的UTF-7 XSS攻击

Question

我最近读过奈德·巴奇长老关于UTF-7 XSS-攻击的文章。我测试了他的例子，但无法在现代浏览器中运行任何UTF-7攻击。到目前为止，我尝试了Firefox、Chrome和Safari的最新版本。

我知道Chrome有一些XSS攻击预防机制，但据我的经验，Firefox有一个更“慷慨”的机制来执行javascript，即使它被破坏了--但是，如果站点使用(但没有明确声明)，这些浏览器中没有一个默认选择UTF-7字符集。

那么:有谁知道为什么这不再管用了？看来UTF-7的检测机制已经改变了，甚至可能是出于安全原因？如果无法更改文档中的字符集声明或操作标头，UTF-7攻击是否仍然针对现代浏览器？

Answer 1

此漏洞只能在旧版本的Internet Explorer中使用。现代浏览器不会自动检测编码为UTF-7。

OWASP:-

如果不更改编码类型，这在任何现代浏览器中都无法工作，这就是为什么它被标记为完全不受支持的原因。

维基百科:-

为了缓解这个问题，系统应该在验证之前执行解码，并且应该避免尝试自动检测UTF-7。早期版本的Internet可以被诱骗将页面解释为UTF-7。

Answer 2

铬和Firefox似乎不再支持任何格式的UTF-7。HTML5 5规范说：

用户代理必须支持WHATWG编码标准中定义的编码。用户代理不应支持其他编码。用户代理不能支持CESU-8、UTF-7、BOCU-1和SCSU编码。尤其不鼓励基于EBCDIC的[CESU8] [UTF7] [BOCU1] [SCSU]支持编码。这种编码很少用于面向公共的Web内容。还特别不鼓励对UTF-32的支持。这种编码很少被使用，并且经常不正确地实现。