是否可以嵌套一个'输入中的字符。像这样:
<input type="hidden" name="breakme" value="" onfocus='alert(\'1\');' autofocus="true" />
我知道你可以做类似
的事情<input type="hidden" name="breakme" value="" onfocus="alert('1');" autofocus="true" />
但我特别需要使用嵌套的&#39;
编辑为了说清楚,我特意试图演示XXS攻击,因此不能有其他脚本,而且必须在此输入中完成。我正在注入另一个输入
<input type="text" name="breakme" value="<?php echo @$_POST['breakme'] ?>">
因此它不能成为&#34;并且必须使用&#39;。由于我想要注入的内容('google.com?' + 'hi'这样的调用我需要能够嵌套&#39;
答案 0 :(得分:1)
on*属性是完全正常的HTML,因此您可以使用'或'等字符引用来编码撇号:
<input type="hidden" name="login" value="" onfocus='alert('1');' autofocus="true" />
'也是由HTML5定义的,但要注意它在IE8中不起作用。
答案 1 :(得分:0)
不:
<input type="hidden" name="login" value="" onfocus="alert('1\u0027');" autofocus="true" />
干什么?