但是在下方标签中我们提交的代码成功的对引号和标签进行了闭合,这样浏览器就能成功执行js代码了。...keyword='onfocus=javascript:alert('xss') > //&submit=搜索 ? 结果发现并没有直接弹窗,这是因为onfocus事件的特殊性造成的。...果然没有那么简单,这里居然对onfocus这一类的事件字符也进行了防范。那么这样的话...
(即 page=sch-subject),在主题名称字段中包含以下有效负载:“ autofocus onfocus=alert(/XSS/)// 编辑主题时会触发 XSS - 在考试名称字段中使用以下有效负载创建一个新考试 page=sch-exams):“ autofocus onfocus=alert(/XSS/)// 编辑 Exam=20 时会触发 XSS 请注意,其中一些 XSS 问题可以由教师(中等特权...