在XSS中避免HTML转义

时间:2014-06-12 22:00:21

标签: security xss

我已经在一个很小的node.js服务器上写了测试用途:

require('http').createServer(function(req,res){ 
    res.writeHead(200, {"Content-Type":"text/html"}); 
    res.end(req.url); 
}).listen(8888);

这个想法是网址:

http://localhost:8888/Guest

将输出

“/客人”。

我见过的许多教程都建议使用URL:

http://localhost:8888/<script>alert("XSS");</script>

应该执行XSS。相反,我收到了URL编码的输出:

/%3Cscript%3Ealert(%22XSS%22);%3C/script%3E

这是为什么?我的服务器显然有很多漏洞,我错过了什么?

0 个答案:

没有答案