首先输入各种字符
查看页面元素,可以看到这里对一些符号做了转换,但是 单引号等几个符号没处理;
从代码上看;使用单引号做闭合;
构造payload
a' onclick='alert(11)'提交,得到xss攻击
Pikachu-Cross-Site Scripting-xss之htmlspecialchars
什么鬼昵称2024-10-04 19:59
相关推荐
heartmoonq3 分钟前
npm 包抽象封装并发布完整指南红衣信3 分钟前
深入剖析 hooks-todos 项目:前端开发的实用实践今禾3 分钟前
深入理解 JavaScript 事件监听机制FogLetter3 分钟前
从饼干到Cookie:前端存储的身份密码本Spider_Man7 分钟前
🎭 React受控与非受控组件:一场"控制权"的争夺战Mintopia12 分钟前
LOD:图形世界里的 “看人下菜碟” 艺术黑客老李14 分钟前
EDUSRC:智慧校园通用漏洞挖掘(涉校园解决方案商)拾光拾趣录15 分钟前
Vue依赖收集机制:响应式原理的核心实现Mintopia16 分钟前
Three.js ArrowHelper:三维世界里的 “方向向导”归于尽18 分钟前
浏览器和 Node.js 的 EventLoop,原来差别这么大