【发布时间】:2013-06-04 18:39:28
【问题描述】:
我一直在使用 XSS 进行一些测试,并创建了一个带有一个文本输入的简单表单,页面顶部的 php 回显了该值,如下所示:
<!doctype html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>Mysite</title>
</head>
<body>
<?php if(isset($_POST['name'])) {
$name = $_POST['name'];
echo $name;
}
?>
<form action="" method="post">
<input type="text" name="name"/>
<input type="submit" value="Submit" />
</form>
</body>
</html>
我在文本输入中输入了一个 JavaScript 代码,如下所示:
<script type="text/javascript">alert('XSS!');</script>
当我在 Google Chrome 中执行此操作时,我什么也得不到,没有输出,没有警告框,也没有错误。但是当我在 Internet Explorer 中查看它时,我得到了预期的警告框。
为什么会这样?
【问题讨论】:
-
“查看源代码”对注入的代码有什么看法?
-
查看源代码显示与提交按钮之前相同的所有内容。但是,当我输入这样的内容时: lol123 ....lol123 回显...所以我猜浏览器忽略了任何东西在脚本标签之间和包括脚本标签之间......这很奇怪,因为我什至没有在 Chrome 中关闭 JavaScript。
标签: php google-chrome xss