こんにちは [XSS] さん

預金残高を jsonp.php から取得して表示するスクリプトを書いてみた。CSP (Content-Security-Policy) のおかげで, インラインのスクリプト実行はできないぞ。これでエスケープいらずだ!

inject

src

<script src="hook.js"></script>
<meta http-equiv="Content-Security-Policy" content="default-src 'self'; style-src 'unsafe-inline'">
<script src="util.js"></script>
<script src="jsonp.php?callback=callback"></script>

<h1> こんにちは <?= $_GET['payload'?> さん</h1>
預金残高を jsonp.php から取得して表示するスクリプトを書いてみた。CSP (Content-Security-Policy) のおかげで, インラインのスクリプト実行はできないぞ。これでエスケープいらずだ!

<h1> inject </h1>
<form>
    <input type="text" name="payload" placeholder="your payload here">
    <input type="submit" value="GO">
</form>

<h1> src </h1>
<?php highlight_string(file_get_contents(basename(__FILE__))); ?>