因此,我发现购物网站的旧http页面没有发生任何过滤。使用代理,我可以将所需的内容注入到页面中,并反映在应用程序的响应中。如果在浏览器中加载相同的请求,则会重定向到其HTTPS站点。在重定向发生之前,是否有可能发生XSS?还是服务器端重定向后的Javascript,因此是我的有效载荷未执行的原因吗?我正在使用一个简单的alert(1),它反映在http网站上的响应中,而不是https页面上。
答案 0 :(得分:0)
这取决于排序或重定向,当服务器重定向您时,浏览器不会执行javascript代码。
如果使用javascript进行客户端重定向,则应执行您的代码。