완료됨
문제는 풀었는데용,,
답변 1 · 추천 0 · 조회 841
xss-1

check_xss 함수 안에있는
url = f"http://127.0.0.1:8000/vuln?param={urllib.parse.quote(param)}"
이 부분에서 param을 urllib.parse로 인코딩시키면서 스크립트문이 실행이 안되어야 하는거 아닌가요?

실제로 그안에 alert를 넣으니깐 안뜨기는하는데 왜 location.href는 되는건지 궁금합니다!!

#web
2024.05.06. 00:41
작성자 정보
더 깊이 있는 답변이 필요할 때
드림핵 팀과 멘토에게 직접 문의해 보세요!
구독하고 Q&A Ticket 시작하기
답변 1
avatar
hoppi_
대표 업적 없음
avatar
hoppi_
대표 업적 없음

안녕하세요 DA2RIM님!
첫 번째 질문에 대한 답으로, urllib.parse.quote()를 사용하는 이유는 스크립트 구문의 실행을 막는 것이 아니라, ?나 &와 같이 URL에서 사용되는 메타문자로 해석됨을 방지하는 것 입니다.
두 번째 질문은 질문이 잘 이해되지 않아 사용하셨던 페이로드를 올려주시면 답변해드리도록 하겠습니다!

2024.05.13. 18:08