我正在学习XSS。但是,我在网上看到的大多数内容都是理论性的,我只是想看看它的实际作用。所以我的表单如下:
<?php
$input_xss=$_POST['input_xss'];
?>
<!doctype html>
<html lang="en">
<head>
<meta charset="utf-8">
<title>The HTML5 Herald</title>
<meta name="description" content="The HTML5 Herald">
<meta name="author" content="SitePoint">
<link rel="stylesheet" href="css/styles.css?v=1.0">
</head>
<body>
<form action ="." method="POST">
<label for ="input_xss">Enter Text Here </label>
<input type="text" id="input_xss" name="input_xss" ><br/>
<?php echo $input_xss;?>
<input type="submit" value="SUBMIT">
</form>
</body>
</html>
我并不是故意清理输入内容以查看XSS实际如何工作。所以,如果我输入类似
<b> This is bold </b>
我看到输出以粗体显示,因此输入无法转义。但是,如果我输入
<script>alert('hi');</script>
在浏览器中看到源代码时,虽然看到<script>alert("hi") ; </script>,但我没有看到Javascript警报窗口。有人可以告诉我为什么JS警报窗口没有弹出吗?
答案 0 :(得分:3)
这种琐碎的xss有时会被浏览器阻止。我认为Chrome在这方面比其他产品要好一些。 您的示例对于浏览器来说很简单,因为page参数中的javascript在页面正文中回显,因此它将无法运行。如果我没记错的话,应该会收到关于它的控制台日志消息。
请注意,这样做只会阻止少量的XSS攻击,只是很小的攻击。</ p>
您可以使用X-XSS-Protection: 0响应标头来禁用此功能,但您仅应出于学习目的。