我网站中的用户/测试人员可以使用third party tool
通过网址执行脚本因此工具正在运行并且您输入了
http://yoursite.com?q=nokia 188413544056" >警报(document.cookie中); 16cd1a0b206
然后浏览器在网址中执行警报,但不是没有工具。
我正在使用codeigniter / twig。如果burpsuit工具正在运行,Twig转义不起作用。
但是,如果正常方案twig输出以下转义值,则url中的脚本不会执行。
search?query=nokia188413544056%22%3E%3Cscript%3Ealert(document.cookie);%3C/script%3E16cd1a0b206
使用IE的互联网选项禁用xss过滤器后,我能够在IE上重现相同的内容。
但是我已多次验证我们正在标记标记并过滤所有网址参数。
有人可以指导我这可能是什么原因,或者甚至是一个有效的案例。
注意:如果需要,我可以提供越来越多的详细信息。