我在IE11中尝试XSS攻击来检查它是否可以阻止XSS。我注意到即使启用了“XSS Filter”也无法阻止XSS。为什么会这样?是否有任何错误或我错过了我应该做的事情?无论如何都要克服这个问题吗?
答案 0 :(得分:1)
这可能是一些事情,这里有一篇关于它的帖子,以及一个可能适用于我的部分:
https://blog.whitehatsec.com/internet-explorer-xss-filter/
在最简单的术语中,问题在于反XSS过滤器仅比较来自用户的不可信请求和来自网站的响应主体,以反映可能导致立即执行JavaScript或VBScript代码的反射。如果来自该初始请求的注入反映在页面上不会导致立即执行JavaScript代码,那么来自注入的不受信任数据将被标记为可信数据,并且反XSS过滤器将不会在将来的请求中对其进行检查。