我正在IE11中尝试XSS攻击,以检查它是否可以阻止XSS。我注意到即使启用了"XSS 过滤器",它也无法阻止 XSS。为什么会这样?其中是否有任何错误,或者我错过了我应该做的事情?有没有办法克服这个问题?
可能是很多事情,这里有一篇关于它的帖子,以及对我来说可能适用的部分:
https://www.whitehatsec.com/blog/internet-explorer-xss-filter/
用最简单的术语来说,问题在于反XSS过滤器仅比较来自用户的不受信任的请求和来自网站的响应正文,以获取可能导致立即执行JavaScript或VBScript代码的反射。如果来自该初始请求的注入反映在页面上不会导致立即执行 JavaScript 代码,则来自注入的不受信任的数据将被标记为受信任数据,并且反 XSS 过滤器不会在将来的请求中检查它。