标签: javascript security filter xss
这是我在cs课程中的学习 - 安全性:
任何人都可以告诉我如何绕过这个功能,以获得真正的" >输出? html实体可以工作但不被识别为注入标记的结尾。
function escape_str(str) { return str.replace(/"|'|<|>|charCode/ig, ''); }
输入通过 name = prompt("How is your name"); 并吐出一个h1标签
name = prompt("How is your name");