XSS实战篇

.思路：

 
       首先是对参数进行过滤猜测：

                 差了几个有特特征性的符号。发现今天这个站
1.对 "\,'"进行转义，

2.双引号进行过滤，

3.&地址符进行清空处理。
构造代码如下：

首先她对尖括号不过滤，但是有尖括号出现，就进行全部过滤。（F12自己看输出结果）



可以看到script变为我们熟悉的颜色，是不是很开心呢？

首先在a标签里，我们有两种思路：

1.闭合双引号，添加事件

2.闭合尖括号，添加标签
因为输入双引号会过滤，我就想到了可以利用转义字符绕过双引号过滤,



看来成功插入双引号。并成功“被闭合”
可成功执行我们插入的代码啦！

<span style="font-size:14px;color:#000000;">'\"\<><button>111111111111111111111</button>
//也可以这样
<img src="" onerror=事件>
<body .....></span>