XSS漏洞(low级别) XSS(DOM) 查看源码 发现无任何保护措施,直接尝试注入 2.在URL处,输入 显示注入成功 XSS(reflected) 查看源码 发现没有任何过滤直接注入 显示注入成功 XSS(stored) 查看源码 发现message 有对于空格的过滤,以及对script的删除,name有对于页面字符的过滤 message的过滤对于sql还有用,但对于xss基本无用,直接绕过就可 nmae 栏的利用:发现前端html中对于name有字数长度限制