Código XSS devuelto en la página de origen

0

Estoy tratando de entender XSS. Tengo un conocimiento básico de XSS reflejado, almacenado y cómo deberían funcionar. En este caso particular, el código que inyecto se está devolviendo en el origen de la página, pero no aparece ningún mensaje emergente o aviso emergente como la alerta habitual.

Diga que me inyecte <script>alert("XSS")</script>

Pero puedo ver la cadena que pasé devolver en la fuente. ¿Es posible explotarlo? ¿Es seguro este comportamiento?

¿Alguien puede ayudarme, por favor, a entender esto?

    
pregunta Tim 15.09.2016 - 02:34
fuente

2 respuestas

1

Creo que probablemente el XSS se mitiga con los encabezados de respuesta, como

  1. X-XSS-Protection
  2. Política de seguridad del contenido
  3. Opciones de tipo de contenido X

Puede leer más sobre estos encabezados aquí . Si estos encabezados se implementan correctamente, el script inyectado no se ejecutará como Javascript por navegador y evitará XSS.

    
respondido por el Sravan 15.09.2016 - 07:46
fuente
0

Prueba el mismo escenario en Mozilla Firefox. Creo que estás usando Chrome, tiene una funcionalidad para bloquear la ventana emergente de JavaScript

    
respondido por el Swapnil Patil 15.09.2016 - 08:29
fuente

Lea otras preguntas en las etiquetas