标签: html xss
我正在测试一个应用程序,该应用程序的html输出中包括不受信任的用户输入。我试图证明当输入something.jpg时<img src="something.jpg">会显示在页面上。我快到了,但是由于某种原因,应用程序将输出=替换为\=。原因与防止XSS攻击无关。我可以用某些东西代替=(也许有些代码),它会与此html元素产生相同的效果吗?
something.jpg
<img src="something.jpg">
=
\=