1. ホーム
  2. 質問と答え
  3. なぜこのXSSは機能しませんか?

なぜこのXSSは機能しませんか?

2017-02-26 18 views
3

おそらく単純な解決策ですが、インデックスページのXSS入力を介して私のウェルカムページでこのアラートスクリプトを実行しようとする私の試みがうまくいかない理由を理解できません。なぜこのXSSは機能しませんか?

私はフォームで簡単なのindex.htmページがあります。名前には、index.phpページへの訪問者として

<!DOCTYPE html> 
<html> 
<body> 

    <h3> Welcome <?php echo $_POST['name']; ?> </h3> 

</body> 
</html> 


<!DOCTYPE html> 
<html> 
<body> 
    <form method="post" action="welcome.php"> 
     Name: <input type="text" name="name"> 
     <input type="submit"> 
    </form> 
</body> 
</html>

そしてwelcome.phpファイルをフィールドIは、入力しようとし: <スクリプト>警告( "pwned")< /スクリプト>

出典

2017-02-26 JSStuball

答えて

1

は、これは何もしています

XSSの監査役がhttp://localhost:9093/welcome.php "でスクリプトを実行することを拒否:につながるあなたの例を実行するノウハウXSS攻撃

からユーザーを保護しようとするXSS auditorを持っているほとんどのブラウザとして、PHP自体に対処します'そのソースコードがリクエスト内で見つかったためです。サーバーが「X-XSS-Protection」ヘッダーを送信しなかったため、監査人が有効になりました。この方法は、=「GET」ので、私はそれはとは何かを持っているとは思わないではない、

詳細については、あなたはあなたの応答のためのthis question

出典

2017-02-26 09:21:33

+0

感謝を確認することができますが、私は「ポスト」=メソッドを使用しています私の場合はXSS審査員。 – JSStuball

+0

@JSStuballリンクされた質問への回答を慎重に読んでください。リクエストURLに入れたり、HTML出力がサーバーから返されたときに表示されます。 – niceman

+0

@niceman Haha言い換えれば、 'と'を'または'を入力し、引用符を使用します。 – JSStuball

関連する問題

 関連する問題