Come posso eseguire un XSS sul reindirizzamento 302 e il corpo sulla pagina?

0

C'è un modo per eseguire XSS? sul 302 reindirizzamento e il corpo sulla pagina?

<HTML><HEAD>
<TITLE>302 Moved Temporarily</TITLE>
</HEAD>
<BODY>
The document has moved <A HREF="https://Example.com/">here</A>
</BODY></HTML>

Posso uscire con " ma non posso usare alcun carattere dopo che < o intero parametro verrebbe rimosso. Forse c'è una soluzione alternativa per "fermare" il reindirizzamento e mostrare HTML? Sono quasi al 99,99% sicuro che ci sia un modo per romperlo in qualche modo.

    
posta SecurityQuy 11.10.2018 - 16:01
fonte

1 risposta

4

In molti casi un reindirizzamento 302 non conterrà affatto un corpo.

Il RFC richiede solo un'intestazione per indica lo stato 302 e il luogo in cui l'utente deve essere reindirizzato.

Come ha detto Steffen, i browser moderni ignorano il corpo del reindirizzamento e pubblicano direttamente un GET per la posizione specificata nell'intestazione.

    
risposta data 12.10.2018 - 00:54
fonte

Leggi altre domande sui tag