对于新手来说,往往会在留言地方插入<script>alert(1)</script>来检测是否有存储xss,事实是基本上不会弹框的,为啥?
通过查看源码,可知道<>标签被实体编码了。
是前端和后端设置了过滤?非也!。 因为有些标签自身具备htmlencode功能,标签有:
<textarea>
<title>
<iframe>
<noscript>
<noframes>
如果绕过?那就闭合前面的标签就是了 ,比如</textarea><script>alert(1)</script>
这里有的人问了,为啥</textarea>没有被html编码?是的,只有这个标签不被编码,其余的一律编码。至于原因就比较深入了,可以参照文章http://bobao.360.cn/learning/detail/292.html
ps: <textarea>在文本留言处是最常用的,特征也很明显,比一般的input输入框要大,而且右下角可拖动设置框大小。