Вот простая форма, которую я хочу попробовать и атаковать с помощью XSS. Я использую Chrome.XSS не работает в форме
<?php
echo $_GET['comment'];
?>
<script>alert('from HTML')</script>
<form method="GET" action="">
Name:
<input type="text" name="name" />
<br/><br/>
Comment:
<input type="text" name="comment" />
<br/><br/>
<input type="submit" value="Submit" />
</form>
Так я вошел в comment
текстовом поле следующее: <script>alert('hi')</script>
. Однако он не работает. Единственное окно оповещения, которое появляется, - from HTML
, которое я написал непосредственно в коде. При взгляде на исходный код страницы следующее написано:
<script>alert('hi')</script>
<script>alert('from HTML')</script>
Почему не выполняется первое предупреждение?
Использование Chrome с включенными настройками безопасности по умолчанию позволило бы получить что-то вроде: 'XSS Auditor отказался выполнить сценарий в 'http: //x/xss.php? Name = & comment =% 3Cscript% 3Ealert% 28% 27hello % 27% 29% 3B% 3C% 2Fscript% 3E ', потому что его исходный код был найден в запросе. Аудитор был включен, поскольку сервер не отправил ни заголовок «X-XSS-Protection», ни «Content-Security-Policy». – apokryfos