这是一个我想用XSS尝试和攻击的简单表单。我正在使用Chrome。XSS不能在表单上工作
<?php
echo $_GET['comment'];
?>
<script>alert('from HTML')</script>
<form method="GET" action="">
Name:
<input type="text" name="name" />
<br/><br/>
Comment:
<input type="text" name="comment" />
<br/><br/>
<input type="submit" value="Submit" />
</form>
所以我进入comment
文本框中输入下列:<script>alert('hi')</script>
。但是,它不起作用。 弹出的唯一警报框是from HTML
,我直接写入代码。 当看着下面被写入网页源:
<script>alert('hi')</script>
<script>alert('from HTML')</script>
为什么不执行第一个警报?
使用启用了默认安全设置的Chrome后,您会得到如下内容:'XSS Auditor拒绝执行'http://x/xss.php?name =&comment =%3Cscript%3Ealert%28%27hello %27%29%3B%3C%2Fscript%3E',因为它的源代码是在请求中找到的。由于服务器既没有发送'X-XSS-Protection'也没有发送'Content-Security-Policy'标头,因此启用了审计程序。' – apokryfos