Url qui but

Bonjour, j’ai voulu essayer la faille XSS dans l’un de mes sites locales, voici mon url : "file:///Users/yannis/Desktop/Project/Demo.html?keyword=" J’ai donc ensuite rajouté du code, cela a donc donné :

file:///Users/yannis/Desktop/Project/Demo.html?keyword=<h1>Test<h1>

Cependant, après avoir entré l’url dans la barre de recherche, mon url s’est transformé en :

file:///Users/yannis/Desktop/Project/Demo.html?keyword=%3Ch1%3ETest%3Ch1%3E

Le test n’a donc évidemment pas marché car mon navigateur a exécuté "le lien transformé". Si quelqu’un pourrait m’aider pour que l’url ne se transforme plus, ce serait super gentil! ps : je suis sur mac os, et cela fait moins de 3 mois que j’ai appris le language js, html etc, donc désolé si j’ai mal compris des notions. Un grand merci !

Salut,

Le comportement de ton navigateur est en fait tout à fait normal, il s’agit d’une conversion en hexadécimal (demandée par le protocole HTTP, si je ne dis pas de bêtise) de la valeur que tu lui donnes :

• le symbole % permet d’indiquer que les deux caractères suivants doivent être interprétés comme un nombre hexadécimal
• les deux caractères suivants donnent la valeur hexadécimale correspondant au caractère dans la table Unicode.

Ton problème ne vient donc pas de la façon dont ton URL est affichée dans la barre d’URL de ton navigateur, mais plutôt de la façon dont ton script JavaScript la lit. Peux-tu nous montrer le code qui te permet d’injecter à ta page le contenu de ton paramètre keyword ?