這個XSS爲什麼不起作用？

Question

可能很簡單的解決方案，但我不明白爲什麼我試圖在我的歡迎頁上通過索引頁上的XSS輸入運行此警報腳本不起作用。

我有一個簡單的index.htm頁面的表單：

<!DOCTYPE html> 
<html> 
<body> 
    <form method="post" action="welcome.php"> 
     Name: <input type="text" name="name"> 
     <input type="submit"> 
    </form> 
</body> 
</html> 

而且文件的welcome.php：

<!DOCTYPE html> 
<html> 
<body> 

    <h3> Welcome <?php echo $_POST['name']; ?> </h3> 

</body> 
</html> 

身爲外國訪客的index.php頁面，在名稱現場我試圖進入： <腳本>警報（ 「PWNED」）< /腳本>

Answer 1

這有什麼好處理PHP本身，因爲大多數瀏覽器都具有XSS auditor將盡力保護從知道XSS攻擊

運行你的例子會導致用戶在：

的XSS審計拒絕'http://localhost:9093/welcome.php執行腳本'因爲它的源代碼是在請求中找到的。由於服務器未發送「X-XSS-Protection」標頭，因此啓用了審覈程序。

欲瞭解更多信息，可以檢查this question