Question

我有一个文件a.html，其中包含以下内容：

<script>
var x=document.URL.substring(document.URL.indexOf('#')+1);
document.write(x);  
alert(document.body.innerHTML);
</script>
<body>

</body>

当我浏览a.html#somevalueh;alert(1)</script>时，为什么只有"somevalueh;alert(1)"而不是</script>部分出现在身体内？

我正在使用chrome btw。它是一个阻止XSS的功能吗？它是通过剥离</script>还是......？

来起作用的

Answer 1

Chrome具有针对反射XSS攻击的默认保护。在Chrome中，有一个标志，您可以使用该标志启动浏览器。如果您使用此标志启动浏览器，则可以执行所需操作：

--disable-web-security