30xリダイレクトのレスポンスボディでもXSS - 葉っぱ日記この記事は 「脆弱性"&'<<>\ Advent Calendar 2016」10日目の記事です。小ネタですみません。 301や302のリダイレクトのレスポンスボディにてXSSが存在することが稀にありますが、30x応答ではボディ部分は表示されないのでXSSが存在しても脅威は発生しないというのが多くの方の理解ではないでしょうか。 GET /redir?q=http://example.jp/?"><script>alert(1)</script> HTTP/1.1 Host: example.jp HTTP/1.1 301 Moved Permanently Location: http://example.jp/?"><script>alert(1)</script> Content-Type: text/html; charset=utf-8 document has moved to
