标签: javascript xss
我无法使用脚本标记 它在我这样做时会发出警报,这对测试很有用。 它会过滤掉它们:
script > * SCRIPT > SCRIPT sCriPt > sCriPt
所以,我尝试使用大写脚本标签 但它转向:
*CRIPT>alert(1)</SCRIPT>
我尝试过使用多个标签。
如何使用此注入常规javascript? 哦,我不能使用引号。
答案 0 :(得分:3)
您知道,您可以参考XSS Cheat Sheet。