2017-02-26 4 views
3

아마도 간단한 해결책이지만 인덱스 페이지의 XSS 입력을 통해 내 환영 페이지에서이 경고 스크립트를 실행하려는 내 시도가 작동하지 않는 이유를 이해할 수 없습니다. 이름으로,왜이 XSS가 작동하지 않습니까?

<!DOCTYPE html> 
<html> 
<body> 

    <h3> Welcome <?php echo $_POST['name']; ?> </h3> 

</body> 
</html> 

의 index.php 페이지에 방문자로 :

<!DOCTYPE html> 
<html> 
<body> 
    <form method="post" action="welcome.php"> 
     Name: <input type="text" name="name"> 
     <input type="submit"> 
    </form> 
</body> 
</html> 

그리고 welcome.php 파일 :

나는 형태로 간단한 index.htm으로 페이지가 < 스크립트를 > 경고 ("pwned") </스크립트 >

답변

1

을이 아무 상관이 : 필드에 내가 입력 시도

XSS의 감사가 http://localhost:9093/welcome.php '에서 스크립트를 실행하기를 거부 : 초래 귀하의 예제를 실행 알고 XSS 공격

에서 사용자를 보호하기 위해 노력할 것입니다 XSS auditor을 가지고 대부분의 브라우저로, PHP 자체를 다루는 왜냐하면 소스 코드가 요청 내에서 발견 되었기 때문입니다. 서버가 'X-XSS- 보호'헤더를 보내지 않아 감사 기능이 활성화되었습니다. 방법은 = "GET"그래서 나는 그와 아무 상관이 있다고 생각하지 않습니다하지,

자세한 내용은, 당신은 당신의 응답을 this question

+0

감사를 확인할 수 있지만 "포스트"= 방법을 사용하고 있습니다 XSS 감사관. – JSStuball

+0

@JSStuball 연결된 질문에 대한 답변을주의 깊게 읽으십시오. "요청 URL에 넣거나 HTML 출력이 서버에 의해 반환 될 때"라고 나와 있습니다. – niceman

+0

@niceman 하하 나는 '과'라는 단어를 바꿔 쓰지 않기를 바란다. '또는'다음 따옴표를 사용하십시오. – JSStuball