先经典一波,发现没啥用,然后还发现了和上一关类似的过滤
试一下onclick,发现也不行,也有过滤(插入一句,怎么发现代码有没有对两个部分都进行了呢实体化呢,查看源码就行了,一般都是先看看两个部分有没有都被实体化,然后根据具体情况再进行下一步是用新的属性还是新的标签等等,这个东西没有很确定的步骤,自行理解适合自己的方法和思路就可以)
试一下大小写混合:"><scRipt>alert(1)</sCript>//
结果
先经典一波,发现没啥用,然后还发现了和上一关类似的过滤
试一下onclick,发现也不行,也有过滤(插入一句,怎么发现代码有没有对两个部分都进行了呢实体化呢,查看源码就行了,一般都是先看看两个部分有没有都被实体化,然后根据具体情况再进行下一步是用新的属性还是新的标签等等,这个东西没有很确定的步骤,自行理解适合自己的方法和思路就可以)
试一下大小写混合:"><scRipt>alert(1)</sCript>//
结果