反射型XSS被称为非持久型XSS,通常是一次性的,一般出现在网页链接中,当攻击者通过电子邮件或客服中心将带有恶意xss的代码发送给相关用户后,相关用户打开并触发xss代码。如:
http://localhost/xss/2.php?kehai=<script>alert(/xss/)</script>
http://localhost/xss/2.php?kehai=%3Cscript%3Ealert(/xss/)%3C/script%3E
这里我们的页面代码如下:
<html> <head> <title>test</title> </head> <body> <?php echo $_GET['kehai']; ?> </body> </html> |
页面返回: