我们输入xss代码,插入失败。
F12打开控制台
可以看到代码的尖括号被转义失效了。
然后我们可以在控制台可以看到在搜索框里的内容是比较完整的,但是他是被引号括起来了,就不是代码,而是数据了,那么我们就想办法把这个闭合掉,就可以成功执行我们的XSS代码了,跟sql注入是一个道理。
注入代码,触发弹窗。(oninput 事件性弹窗。)
' oninput=alert(1)//
除了' oninput=alert(1)//
我们还可以尝试' onfocus=alert(1) autofocus //
因为这里的XSS代码是反射性,而反射性要访问才生效,说以我们可以把我们的XSS代码放入目标链接。