Hoàn thành

• Sử dụng pay load: "><script>alert(1)</script>
• Chèn vào phần tìm kiếm sẽ khiến hiển thị

Giải thích

• Vì câu query của ta đến từ location.search, tức là người dùng có thể kiểm soát được thông qua URL được hiển thị vào lại:

document.write('<img src="/resources/images/tracker.gif?searchTerms='+query+'">')

nên payload <script>alert(1)</script> không được vì bị coi là text.

⇒ payload: “><script>alert(1)</script> sẽ được vì dấu “> đã kết thúc arrtribute src và nó coi

<script>alert(1)</script> là một đoạn script hoàn hỉnh và nó chạy luôn chứ ko coi là text nữa gần giống sql injection.

Kết luận

Payload "><script>alert(1)</script> hoạt động vì nó thoát khỏi context của attribute HTML, sau đó chèn một thẻ <script> hợp lệ vào DOM nên JavaScript được thực thi.

Đây là một dạng DOM-based Cross-Site Scripting (DOM XSS).