可能是简单的解决方案,但我无法理解为什么我在索引页面上通过XSS输入在欢迎页面上运行此警报脚本的尝试不起作用。
我有一个简单的index.htm页面,其格式为:
<!DOCTYPE html>
<html>
<body>
<form method="post" action="welcome.php">
Name: <input type="text" name="name">
<input type="submit">
</form>
</body>
</html>
welcome.php文件:
<!DOCTYPE html>
<html>
<body>
<h3> Welcome <?php echo $_POST['name']; ?> </h3>
</body>
</html>
作为index.php页面的访问者,我在名称字段中尝试输入: &LT;脚本&GT;警报( “PWNED”)&LT; /脚本&GT;
答案 0 :(得分:1)
这与PHP本身无关,因为大多数浏览器都会XSS auditor试图保护用户免受XSS攻击
运行您的示例将导致:
XSS Auditor拒绝在“http://localhost:9093/welcome.php”中执行脚本,因为它的源代码是在请求中找到的。审核员已启用,因为服务器未发送“X-XSS-Protection”标头。
有关详情,请查看this question