No puedo analizar tu problema, ya que diste una URL falsa para probar XSS. Aquí hay una URL real que demuestra una vulnerabilidad XSS:
Al usar la primera tarea, esta es una URL que tiene una vulnerabilidad XSS:
Usando solicitudes de la biblioteca de python, podemos solicitar esta página:
>>> import requests
>>> xss_url = http://www.insecurelabs.org/Task/Rule1?query=%3Cscript%3Ealert%28%27XSS%27%29%3C%2Fscript%3E
>>> r_xss = requests.get(xss_url)
>>> print r_xss.text
<!DOCTYPE html>
<html>
<head>
<meta charset="utf-8" />
<title></title>
<link href="/Content/Task.css" rel="stylesheet" type="text/css" />
<script src="/Scripts/jquery-1.5.1.min.js" type="text/javascript"></script>
<script src="../../Scripts/Task.js"></script>
</head>
<body>
<div class="page">
<section id="main">
<a href="/Task" class="back">Back to task list</a>
<h1>Task 1 - between tags</h1>
<form method="get" action="">
Search: <input type="text" name="query" value="<script>alert('XSS')</script>"/><input type="submit" value="Search" />
</form>
<br /><br />
<div>
Searched for <script>alert('XSS')</script> <br />
Found nothing.
</div>
...
Como puede ver justo arriba donde truncé el resto del contenido HTML, está el texto Searched for <script>alert('XSS')</script>
, que es la vulnerabilidad de XSS, ya que es un <script>
completamente formado. Tenga en cuenta que requests
solo realiza la solicitud HTTP (es decir, solicita la fuente de la página HTML desde el servidor web sin intentar procesarla o renderizarla) y no ejecuta ningún javascript, no verá ninguna ventana emergente de alerta mostrando ' XSS '.
Si realiza cualquier otra solicitud inocua, el contenido cambiará. No puedo ver tu ejemplo, ya que no diste una URL real. Supongo que estás haciendo algo mal: ¿esas URL exactas representan diferentes fuentes en un navegador web?