- xss过滤
xss绕过过滤可以尝试大小写,复写绕过
过滤考虑符号有无过滤
- htmlspecialchars方法转义
定义和用法
该方法会把预定义的字符转换为HTML 实体。
预定义的字符是:
字符 替换后
& (& 符号) &
" (双引号) " 除非设置了 ENT_NOQUOTES
' (单引号) &apos
< (小于) <
> (大于) >
- htmlspecialchars默认不对'处理
尝试使用单引号 ' 对标签封闭
- 如果要在a标签的href属性里构造payload,可以直接使用js构造
burp可以多次尝试