这是与XSS相关的问题:
我尝试在搜索框中输入\'';!--"<XSS>=&{()}),并且所有字符都显示在页面上,即没有过滤掉。
当我点击“检查元素”时,我发现此文本显示在2个<strong>标记内,这些标记位于<h2>内的<div>标记内。我尝试插入<div onmouseover="alert(1)">hi</div>,但它只是按原样显示,当我检查文本时,我发现它没有被注册为HTML,它只是被视为一个字符串。
此外,如果我尝试使用<strong>打破</strong> <div onmouseover="alert(1)"> hi </div> <strong>代码,则代码不会被破坏,而是直接显示。
为什么这些HTML标记被视为字符串,而不是实际标签?
答案 0 :(得分:0)
如果我没有误解这个问题,那你就是在试图学习黑客攻击。我想你是想破解一个专业的网站。如果是这样,那么他们已经考虑过这种威胁,并且可能已经针对它发挥了PHP功能。
所以,你很幸运能找到一个有这个漏洞的网站。你学习它的唯一选择是设置你的本地PHP服务器(xampp,wamp ...),下载一个非安全的页面试试吧。
但这不是提出这个问题的网站,因为这是编程问题。您可以转到http://security.stackexchange.com