Click me
click
import html
userInput = ""
outPut = html.escape(userInput)
print(outPut)
test
onscroll=alert(1);>
xss
xss
iframe标签
img标签
//IE7以下
form标签
也可以:
绕过引号过滤
如果是html标签中,我们可以不用引号。如果是在js中,我们可以用反引号代替单双引号:
绕过关键字过滤
大小写绕过
alert(1);
"type=text>
[输出]
Click me
click
import html
userInput = ""
outPut = html.escape(userInput)
print(outPut)
test
onscroll=alert(1);>
xss
xss
iframe标签
img标签
//IE7以下
form标签
也可以:
绕过引号过滤
如果是html标签中,我们可以不用引号。如果是在js中,我们可以用反引号代替单双引号:
绕过关键字过滤
大小写绕过
alert(1);
"type=text>
[输出]