<%@page contentType="text/html" pageEncoding="UTF-8"%>
<!doctype html>
<html>
    <head>
        <meta charset="utf-8" />
        <title>Reflected XSS</title>
    </head>
    <body>
        <h1>Reflected XSS</h1>
        
        ${param["q"]}
    </body>
</html>

こんな感じの JSP を作って、 “?q=“ みたいなクエリパラメータを乗せたリクエストを送る。

X-XSS-Protection ヘッダーが設定されていない場合、 IE11 だとスクリプトがそのまま実行されて、反射型 XSS が実行できることが確認できた。

Chrome の場合はヘッダーがついていなくても XSS を検知してページが表示されなかった。

ところで Chrome が XSS を検知したときにでるエラーメッセージ ERR_BLOCKED_BY_XSS_AUDITOR で Google 検索すると、 IE にしたり Firefox にしたり、はては Chrome のバージョン下げれば解決するよって言ってるのがちらほら見つかるけどええんかな。