最普通的payload
<script>alert(1)</script>
大小写,双写都不可以,源码对任何形式的script做了过滤所以可以采用不使用 script 的方式。可以通过img、body等标签的事件或者iframe、src等标签的构造可利用的js代码。
方法一
使用 img 标签和其编码转换后的 XSS payload
<img src=1 onerror=alert<
最普通的payload
<script>alert(1)</script>
大小写,双写都不可以,源码对任何形式的script做了过滤所以可以采用不使用 script 的方式。可以通过img、body等标签的事件或者iframe、src等标签的构造可利用的js代码。
方法一
使用 img 标签和其编码转换后的 XSS payload
<img src=1 onerror=alert<