为什么这个XSS攻击不起作用?

时间:2015-02-28 13:24:57

标签: xss

我想将一些XSS代码注入网站。源代码是这样的:

<span class="c_red">"aaa"</span>

屏幕上显示单词aaa

然后我将一些shellcode注入搜索框。我输入的代码是这样的:

</span><img src=* onerror=alert(1) /><span>"

所以,结果代码是

<span class="c_red">"</span><img src=* onerror=alert(1) /><span>""</span>

为什么我不能在屏幕上显示警告框?

1 个答案:

答案 0 :(得分:3)

您没有提供有关此问题的足够信息,但我认为这可能是由以下原因引起的:

  1. 您尝试注入的网站使用Str_Replace或其他方法替换代码中的某些字符,使其无效。
  2. 您将图像置于跨度之外,可能会迫使服务器操作员忽略您的代码。
  3. 尝试检查网站的源代码(CTRL + U),看看你的注入代码是否在源代码中,如果没有用红色突出显示(这意味着部件输入不正确,将被忽略)一些浏览器)