در حالی که من در برنامه bounty bug های خصوصی شرکت می کنم ، فهمیدم که برنامه وب عنصر پنهانی دارد و مقدار آن یک رشته خالی در کد HTML است.

برنامه در حال استفاده از مقدار این عنصر در برخی از کارهای جلویی با Javascript است. علاوه بر آن ، برنامه دارای عملکرد محافظت XSS سمت مشتری است که با Javascript نوشته شده است. کنسول توسعه دهنده را باز می کنم و این عملکرد را حذف می کنم و سپس مقدار عنصر پنهان را با استفاده از document.getElementById ("veşart_id") تغییر می دهم. value = '"> ' and [جعبه هشدار] بلافاصله ظاهر شد.

برای جمع بندی ، من عملکرد محافظت را از جلو و حذف XSS از کنسول برنامه نویس حذف کردم. آیا این XSS است؟

توجه: محافظ سرور وجود ندارد زیرا کدی که در قسمت جلویی اجرا می شود اسکریپت مخرب به سمت سرور نمی رود و فقط در قسمت جلویی اجرا می شود.