Puedo obtener XSS reflejado a través del repetidor de eructos usando una solicitud GET. Luego hago clic en mostrar respuesta en el navegador y puedo recibir una alerta XSS. ¡Pero cuando voy manualmente a la URL en mi navegador, la carga útil no se ejecuta!
Cuando estaba usando cargas útiles como esta en mi repetidor de Burp, pude obtener una alerta:
"><html><body><script>alert("1")</script></body></html>
Pero cuando voy a la misma URL, como
https://example.com/exp="><html><body><script>alert("1")</script></body></html>'
se codifica en
https%3A%2F%2Fexample.com%2Fexp%3D%22%3E%3Chtml%3E%3Cbody%3E%3Cscript%3Ealert%28%221%22%29%3C%2Fscript%3E%3C%2Fbody%3E%3C%2Fhtml%3E
en el interceptor de eructos y el XSS no se ejecuta. ¿Alguna solución para esto?