内容未出现在正文中
Content not appear in body
我有一个文件a.html,其中包含以下内容:
<script>
var x=document.URL.substring(document.URL.indexOf('#')+1);
document.write(x);
alert(document.body.innerHTML);
</script>
<body>
</body>
当我浏览a.html#somevalueh;alert(1)</script>时,为什么只有"somevalueh;alert(1)"而不是</script>部分出现在正文中?
我正在使用 chrome 顺便说一句。它是防止 XSS 的功能吗?它是否通过剥离 </script> 或 ...?
起作用
Chrome 具有针对反射 XSS 攻击的默认保护。在 Chrome 中有一个可以启动浏览器的标志。如果你用这个标志启动浏览器,你可以做你想做的事:
--disable-web-security
我有一个文件a.html,其中包含以下内容:
<script>
var x=document.URL.substring(document.URL.indexOf('#')+1);
document.write(x);
alert(document.body.innerHTML);
</script>
<body>
</body>
当我浏览a.html#somevalueh;alert(1)</script>时,为什么只有"somevalueh;alert(1)"而不是</script>部分出现在正文中?
我正在使用 chrome 顺便说一句。它是防止 XSS 的功能吗?它是否通过剥离 </script> 或 ...?
Chrome 具有针对反射 XSS 攻击的默认保护。在 Chrome 中有一个可以启动浏览器的标志。如果你用这个标志启动浏览器,你可以做你想做的事:
--disable-web-security