反射型xss(get) 随便输入了一串字符 abcde ,提示 who is abcde,i don’t care! 查看源码,看到了 abcd 说明服务器把我输入的东西原样返回了 尝试输入<script>alert(/xss/)</script> 限制了输入字符长度,修改源码 再次尝试输入<script>alert(/xss/)</script> 查看源码发现并没有正确显示 考虑将input输入框闭合再输入js 如下“><script>alert(/xss/)</script>,成功弹窗 alert(/xss/)`,成功弹窗