HTMLタグはXSS

Question

のための文字列として扱われますこれは、XSS関連の質問です：

私は検索ボックスに\'';!--"<XSS>=&{()})を入力しようとしたし、すべての文字がページに表示されている、すなわち、いずれも除外されていません。

「Inspect Element」をクリックすると、このテキストが<div>の内部にある<h2>タグ内にある2 <strong>タグ内に表示されていることがわかります。私は<div onmouseover="alert(1)">hi</div>を挿入しようとしましたが、そのまま表示されています。テキストを調べると、HTMLとして登録されていないことがわかります。文字列として扱われます。

また、<strong>タグを</strong> <div onmouseover="alert(1)"> hi </div> <strong>に分割しようとすると、タグが壊れておらず、そのまま表示されています。

なぜこれらのHTMLタグは実際のタグではなく文字列として扱われますか？

Answer 1

私が質問を誤解していない場合、あなたはハッキングを学ぼうとしています。そして、私はプロのウェブサイトをハックしようとしていると思います。もしそうなら、彼らはすでにその脅威を考えており、恐らくそれに対してPHPの機能を作ったでしょう。

この脆弱性を持つWebサイトを見つけることができれば幸いです。あなたの唯一の選択肢は、ローカルのPHPサーバ（xampp、wamp ...）を設定し、安全でないページをダウンロードしてそこで試してみることです。

これはプログラミングに関する質問であるため、これはこの質問をするサイトではありません。 http://security.stackexchange.com