Содержимое не появляется в теле

У меня есть файл a.html, который имеет следующее содержание:Содержимое не появляется в теле

<script> 
var x=document.URL.substring(document.URL.indexOf('#')+1); 
document.write(x); 
alert(document.body.innerHTML); 
</script> 
<body> 

</body>

Когда я просматривающие к a.html#somevalueh;alert(1)</script>, почему только "somevalueh;alert(1)" но не </script> часть появилась внутри тела?

Я использую хром btw. Это функция, которая предотвращает XSS? Работает ли она путем удаления </script> или ...?

источник

2015-04-01 william007

Этот вопрос не касается информации о безопасности в пределах области действия, определенной в справочном центре. –

@LucasKauffman Но это про XSS? – william007

Я не правильно прочитал ваш вопрос, я предположил, что это обычный JavaScript-код, извините, мой плохой! Добавлено ответ :) –

Chrome имеет защиту по умолчанию от рефлексивных атак XSS. В Chrome есть флаг, с помощью которого вы можете запустить браузер. Если вы запустите браузер с этим флагом, вы можете делать то, что хотите:

--disable-web-security

источник

2015-04-01 09:45:02

Спасибо! Но я с трудом выключаю его, вопрос здесь: http://security.stackexchange.com/questions/85044/cannot-turn-off-xss-filter-in-chrome – william007

Содержимое не появляется в теле

ответ

Смежные вопросы