我正在对XSS进行一些道德研究(我参加计算机编程和网络开发课程)。我的教授已经委派我的小组在他的测试网站上运行alert('xss')。尽管我付出了最大的努力,但我最终还是找到了他正在使用的过滤器。打开标记<,后跟空格所需的任何字符,以及\u003E等任何HTML编码字符。我的第一个想法是键入< img src="javascript:alert('xss')">,但空格会使标记格式错误而不会运行。我也注意到网站的标题根据输入的内容而变化。如果我输入abc(),则标题会更改为abc() - website。任何帮助表示赞赏!