1、介绍
对于反射型和存储型xss来说,一般要求响应类型为text/html,然后进一步测试敏感字符和构造payload。
测试过程中,逐个日志进行查看。如果响应类型是application/javascript等其它非text/html的文本类型,直接构造payload的话浏览器并不会将其作为html解析。
但是,如果直接复制url在浏览器中访问,或者基于form表单提交,查看burp其响应类型变为text/html的话,那么就满足基本条件,可以进一步测试xss。
2、示例
(1)文档中间过程加载jsonp,访问过程中,发现存在参数包含返回,但响应类型不为text/html
(2)直接浏览器访问url,发现响应类型变更为html。可以进一步测试xss
3、进一步阐述
(1)比较这两组请求报文,区别在于Accept的值。
- 如果是浏览器地址栏直接请求,更倾向于html类型。text/html优先级更高
- 而在html文档间接发出请求,可能会设置为*/*无倾向,或者其它非text/html类型
- 服务端接收请求后,有大概三种情况:
- 代码或者服务器容器直接设置固定的响应头部字段content-type
- 请求中accept为*/*,无预期偏好。服务器根据请求的路径后缀和响应内容自动设置
- 请求中accept表现偏好。服务器结合请求的路径后缀和响应内容,进行设置。
(2)accept设置与处理
- 浏览器地址栏请求和form表单,可以一定程度影响accept请求字段。form表单具有属性accept,可以直接设置
- 需要注意,accept只是有可能将响应类型变更为text/html,但并不绝对
(3)场景
- html文档中加载其它js、css等文本文档
- html文档ajax交互,获取非html的文本文档
- html文档ajax交互,获取到html的文本文档