在验证目标系统是含有XSS漏洞,查看源代码,看不到插入的跨站脚本代码。
所谓查看源代码,就是别人服务器发送到浏览器的原封不动的代码。
审查元素时,你看到那些,在源代码中找不到的代码,是在浏览器执行js动态生成的。
通过审查元素看到的就是最终的html代码。即:源代码 + 网页js渲染 。
1、利用burp拦截请求的响应数据。
2、F12调试,编辑HTML查看跨站代码详细内容
2、利用firebug(待测试)
