문제는 풀었는데용,,
check_xss 함수 안에있는
url = f"http://127.0.0.1:8000/vuln?param={urllib.parse.quote(param)}"
이 부분에서 param을 urllib.parse로 인코딩시키면서 스크립트문이 실행이 안되어야 하는거 아닌가요?
실제로 그안에 alert를 넣으니깐 안뜨기는하는데 왜 location.href는 되는건지 궁금합니다!!
#web
답변
1
hoppi_
대표 업적 없음
안녕하세요 DA2RIM님!
첫 번째 질문에 대한 답으로, urllib.parse.quote()를 사용하는 이유는 스크립트 구문의 실행을 막는 것이 아니라, ?나 &와 같이 URL에서 사용되는 메타문자로 해석됨을 방지하는 것 입니다.
두 번째 질문은 질문이 잘 이해되지 않아 사용하셨던 페이로드를 올려주시면 답변해드리도록 하겠습니다!
질문에 대한 답을 알고 계신가요?
지식을 나누고 포인트를 획득해보세요.
답변하고 포인트 받기 지식을 나누고 포인트를 획득해보세요.
