XSS 和回显 <script> 标签

Question

我正在学习 XSS。但是，我在网上看到的大多数东西都是理论性的，我只是想看看实际情况。所以我有如下表格：

<?php 
    $input_xss=$_POST['input_xss'];


?>
<!doctype html>

<html lang="en">
    <head>
        <meta charset="utf-8">

        <title>The HTML5 Herald</title>
        <meta name="description" content="The HTML5 Herald">
        <meta name="author" content="SitePoint">

        <link rel="stylesheet" href="css/styles.css?v=1.0">

    </head>

    <body>
        <form action ="." method="POST">
            <label for ="input_xss">Enter Text Here </label>
            <input type="text" id="input_xss"  name="input_xss" ><br/>
            <?php echo $input_xss;?>
            <input type="submit" value="SUBMIT">
        </form>
    </body>
</html>

我并不是有意清理输入以查看 XSS 的实际工作原理。所以，如果我输入类似 <b> This is bold </b> 我看到输出为粗体，因此输入未转义。但是，如果我输入

<script>alert('hi');</script>

虽然我在浏览器中看到源代码时看到 <script>alert("hi") ; </script>，但我没有看到 Javascript 警报 window。有人能告诉我为什么 JS 警报 window 没有弹出吗？

Answer 1

这种微不足道的 xss 有时会被浏览器阻止。 Chrome 是我认为在这方面比其他人好一点。 您的示例对于浏览器来说很简单，因为来自页面参数的 javascript 会在页面 body 中回显，所以它不会是 运行。如果我没记错的话，你应该会收到一条关于它的控制台日志消息。

请注意，这只会阻止少量的 XSS 攻击，只有微不足道的攻击。

您可以通过 X-XSS-Protection: 0 响应 header 禁用此功能，但您应该只出于学习目的这样做。