codice XSS restituito nella pagina di origine

0

Sto cercando di capire XSS. Ho una conoscenza di base dell'XSS riflesso e memorizzato e di come dovrebbero funzionare. In questo caso particolare, il codice che viene iniettato viene restituito nell'origine della pagina, ma non ricevo alcun prompt / pop-up come il solito avviso.

Dire che iniettare <script>alert("XSS")</script>

Ma posso vedere la stringa che ho passato restituire nella fonte. È possibile sfruttarlo? questo comportamento è sicuro?

Qualcuno può aiutarmi a capirlo.

    
posta Tim 15.09.2016 - 02:34
fonte

2 risposte

1

Penso che probabilmente l'XSS sia mitigato usando gli header di risposta come

  1. X-XSS-Protection
  2. Content-Security-politica
  3. X-Content-Type-Options

Puoi leggere ulteriori informazioni su queste intestazioni qui . Se queste intestazioni sono implementate correttamente, lo script iniettato non verrà eseguito come Javascript dal browser e impedisce XSS.

    
risposta data 15.09.2016 - 07:46
fonte
0

Prova lo stesso scenario su Mozilla Firefox. Penso che stai usando Chrome, ha una funzionalità per bloccare il popup JavaScript

    
risposta data 15.09.2016 - 08:29
fonte

Leggi altre domande sui tag