所以我发现一个购物网站的旧http页面没有任何过滤发生。使用代理,我可以将任何我想要的东西注入页面,它反映在应用程序的响应中。如果我在浏览器中加载相同的请求,我会被重定向到他们的HTTPS站点。在重定向发生之前是否有可能发生XSS?或者是服务器端重定向后的Javascript,因此我的有效负载没有执行的原因是什么?我正在使用一个简单的警报(1),它反映在http网站上的响应中,但不会反映在https页面上。
它取决于排序或重定向,当服务器重定向您时,浏览器不会执行javascript代码。
如果使用javascript进行客户端重定向,则应执行您的代码。