javascript - 为什么这个 xss 不起作用

Question

我只是想在 xss 上进行练习，我希望在 echo 上弹出警报框，这应该适用于 echo。我正在做基于概念的练习，并且我错误地使用了 htmlspecialchars，它很容易受到 xss 攻击。然而这并没有真正起作用，我不明白为什么。这是我的代码

$name=htmlspecialchars($_GET['myname']);


echo "<HTML><body>";        
echo '<form action="">';
echo "name: <input type='text' name='myname' ><br>";

echo "<input type='submit' ></form>";

echo $name; // here I want the xss to execute a popup box

echo "</HTML></body>";

输入脚本如下所示。

<script>alert();</script>

我也尝试过很多替代方案。该脚本在我键入时显示，并且没有警报框。

Answer 1

I am doing exercises based on concepts and hier I have a wrong usage of htmlspecialchars, which is vulnerable to xss.

但你不知道。您已经按照预期的方式使用了 htmlspecialchars，因此可以免受 XSS 攻击。