Javascript字符串截断 with DOM XSS的方法介绍

关于IE中JavaScript字符串被NULL字符截断的问题，实际上在测试代码时，我们可以发现，这种情况下的影响似乎仅限于getValue操作。比如测试代码alert('abc\0 def')在运行时，最多可能引发一些像spoofing这样的小问题。配合IE（版本≤8）的一个漏洞和PHP的魔术引号功能，这就可能引发严重的DOM XSS安全问题。

关于IE的漏洞，当器无法匹配标签内属性值的结束界定符时，它会认为这是一个无效的标签并将其视为文本。例如，标签