问为什么这段代码不运行？

EN

你需要包含更多的信息，否则这个问题是无法回答的。我不认为我们有一个“为什么XSS不工作”的问题，所以我将尝试在这里添加一个规范的答案。

为什么XSS不能工作？

所以你有一个网站，它接受你的输入，并把它反馈给你。这可能会受到XSS的攻击！但是，如果您确实输入了一个有效负载，则不会执行它。现在怎么办？

以下是你应该尝试回答的问题：

1. 编码:输入是如何实际返回的？：重要的部分不是浏览器解析输入后输入的外观，而是源代码的外观。所以你应该看看这个。要么使用拦截代理(ZAP、Burp等)，要么查看浏览器中的源代码。像<，>，"，'这样的相关字符实际上是这样返回的吗？或被编码(如<等)。如果它们被编码，网站很可能不会受到攻击(您可以尝试不同的编码等来绕过编码，但这是不可能的)。
2. 过滤:输入是否以任何其他方式改变？：因此相关字符没有编码，这意味着您至少有一个HTML注入。现在，您需要检查是否可以输入Javascript上下文。像<script这样的标签被过滤了吗？您可以使用事件属性(如onMouseOver )吗？您能使用其他有趣的HTML标记，如img、input、frame等吗？过滤经常被打破，所以即使简单的事情被过滤了，也要进一步研究。
3. 浏览器过滤器:为什么我的有效负载没有执行？：好的，你现在知道这个网站是脆弱的，你有像alert(1)一样好的有效负载，但是什么都没有发生。是否禁用了浏览器XSS筛选器？如果有疑问，可以使用没有插件的Firefox，因为它没有过滤器。
4. HTTP报头:您知道站点是脆弱的，您知道您的浏览器将执行XSS有效负载，但仍然什么都没有发生？然后，您应该检查HTTP头。是CSP集吗？它能阻止内联脚本的执行吗？如果是这样的话--而且您不能将.js文件上传到受信任的源-，这仍然是一个漏洞，但您只能针对较旧的浏览器，或者只剩下一个HTML注入(它虽然没有XSS那么严重，但仍然非常强大)。