我已经在一个很小的node.js服务器上写了测试用途:
require('http').createServer(function(req,res){
res.writeHead(200, {"Content-Type":"text/html"});
res.end(req.url);
}).listen(8888);
这个想法是网址:
http://localhost:8888/Guest
将输出
“/客人”。
我见过的许多教程都建议使用URL:
http://localhost:8888/<script>alert("XSS");</script>
应该执行XSS。相反,我收到了URL编码的输出:
/%3Cscript%3Ealert(%22XSS%22);%3C/script%3E
这是为什么?我的服务器显然有很多漏洞,我错过了什么?