對於新手來說,往往會在留言地方插入<script>alert(1)</script>來檢測是否有存儲xss,事實是基本上不會彈框的,為啥?
通過查看源碼,可知道<>標簽被實體編碼了。
是前端和后端設置了過濾?非也!。 因為有些標簽自身具備htmlencode功能,標簽有:
<textarea>
<title>
<iframe>
<noscript>
<noframes>
如果繞過?那就閉合前面的標簽就是了 ,比如</textarea><script>alert(1)</script>
這里有的人問了,為啥</textarea>沒有被html編碼?是的,只有這個標簽不被編碼,其余的一律編碼。至於原因就比較深入了,可以參照文章http://bobao.360.cn/learning/detail/292.html
ps: <textarea>在文本留言處是最常用的,特征也很明顯,比一般的input輸入框要大,而且右下角可拖動設置框大小。