Hola, estoy leyendo algo sobre xss. Aunque ya habia leido y se como se hace y como defenderme hise una prueba en este archvo:
Código HTML:
Ver original<!DOCTYPE HTML>
<link href="jquery-ui/css/smoothness/jquery-ui-1.10.3.custom.css" rel="stylesheet" /> <script src="http://code.jquery.com/jquery-1.9.1.js"></script> <script src="http://code.jquery.com/ui/1.10.3/jquery-ui.js"></script>
<link href="views/index.css" rel="stylesheet" /> <form method="post" action="<?php echo $_SERVER['PHP_SELF']; ?>">
Cadena:
<input type="text" name="string" /> <input type="submit" value="Buscar" /> <?php
if(isset($_POST['string'])){
echo $_POST['string'];
}
?>
Pero si escribo en el campo:
<script>alert();</script>
Luego me imprime en el codigo fuente
<script> </script>
En cambio si pongo
<b>cosa</b> funciona
Por que ??