这里有一个简单的表单,我想尝试使用XSS进行攻击。我正在使用Chrome。
<?php
echo $_GET['comment'];
?>
<script>alert('from HTML')</script>
<form method="GET" action="">
Name:
<input type="text" name="name" />
<br/><br/>
Comment:
<input type="text" name="comment" />
<br/><br/>
<input type="submit" value="Submit" />
</form>
因此,我在comment文本框中输入了以下内容:<script>alert('hi')</script>。然而,它不起作用。唯一弹出的警告框是from HTML,我已将其直接写入代码中。当查看页面源时,会写入以下内容:
<script>alert('hi')</script>
<script>alert('from HTML')</script>
为什么它没有执行第一个警报?
检查浏览器开发工具中的控制台选项卡。我的猜测是您的浏览器启用了XSS保护。