1、嘗試<script>alert(1)</script>
結果可以看到結果中 <script> 語句被修改,并且 "> 有可能形成閉合
2、接下來帶入各種payload測試,可以發現 href 、script、on事件函數、src、都被加入下劃線改寫,但是javascript:alert(1)沒有被改寫
XSS-6注入靶場闖關(小遊戲)——第六關 現在就嘗試如何讓hr_ef不被改寫,
嘗試修改大小寫 : "><a Href='javascript:alert(1)'>老六</a><!--
單擊老六通關
3、回顧:我們來看一下成功通關的語句結構
① "> 是與前面的value形成閉合
② 中間是一個a标簽來觸發事件
③ <!-- 用來注釋後面的 "> (可以不些)