Reflected XSS - Как обойти encodeURIComponent

[radaram]

Приветствую! Есть такой код, вроде как есть xss уязвимость с использованием referrer заголовка

var script = document.createElement('script');
script.type = 'text/javascript';
script.async = true;
script.src = '/client.js?q=' + encodeURIComponent(document.referrer) + '&a=qwerty';

Но пока не удается подобрать Referrer с необходимыми GET параметрами.
Буду признателен если подскажите, какие GET параметры нужно подобрать для того, чтобы xss уязвимость заработала?

 

[f22]

Приветствую! Есть такой код, вроде как есть xss уязвимость с использованием referrer заголовка

var script = document.createElement('script');
script.type = 'text/javascript';
script.async = true;
script.src = '/client.js?q=' + encodeURIComponent(document.referrer) + '&a=qwerty';

Но пока не удается подобрать Referrer с необходимыми GET параметрами.
Буду признателен если подскажите, какие GET параметры нужно подобрать для того, чтобы xss уязвимость заработала?

Выбирай
XSS Vectors Cheat Sheet

 

[s unity]

Выбирай
XSS Vectors Cheat Sheet

и что ты скинул? это пейлоды на уже готовую уязвимостью. тебе человек говорить что encodeURIComponent() превращает все енкодит все подряд символы вводимые пользователем
ты че в самом деле