反射型
low
查看源代码,没有任何过滤
构造
medium
这里是过滤了
high
这里把双写和大小写和JavaScript都过滤了,用事件来绕过<img src=0 οnerrοr=alert("xss")>
impossible
这里使用htmlspecialchars进行实体转换并且输出的结果还不能使用事件来绕过,不可能绕过
存储型
low
没有任何过滤,在留言写XSS语句
刷新触发XSS
medium
这里name过滤了,message用了htmlspecialchars,双写绕过
这里限制了输入数,前端修改
high
这里还是反射型的思路,<img src=0 οnerrοr=alert("xss")>
impossible
输入经过HTML编码,不能注入