通过地址栏进行 XSS 注入

XSS injection via addressbar

我正在测试 XSS,我在 URL 中添加了一些 JavaScript 代码,突然页面的所有图片和样式都消失了,只显示文本内容,注入的 JavaScript 命令甚至没有被执行,这是否意味着我的代码易受此类 XSS 攻击?

URL是:

http://localhost/index.php/<script>alert('hacked');</script>

为了更好地了解 CrossSite Scripting 以及如何复制和预防它,我向您推荐 OWASP site,其中还包括有关其他常见 Web 漏洞的文档。

The URL is: http://localhost/index.php/script alert('hacked');script

此外,对于 post 和指向您的 localhost 的 URL 没有帮助,因为该站点在您的计算机中而不是在 Internet 上,所以我们无法访问它并测试它。如果同一站点也在 Internet 上发布,post 它及其 public IP 或其域。

I dropped the <> of the script tag here as it is filtered

要 post 问题中任何语言的源代码,请使用 Code 格式(括号按钮,在格式工具栏中)对其进行格式化。

<script>Example of source code with script tag</script>

没有。这与 XSS 无关(脚本未被执行是一个很好的线索!)。

意思是 http://localhost/index.php/<script>alert('hacked');</http://localhost/index.php/http://localhost/ 不同 "directory"。

您的文档中有相关的 URL,它们不是以 / 开头,因此它们是相对于页面的 URL。

由于您是从指向不同目录的 URL 访问该页面,因此链接已损坏。