XSS进阶（一）

直接接着上文http://xss.fbisb.com中的题，以下的题请使用FireFox进行测试，chrome会默认禁止执行url中的script代码，导致无法弹窗

L2

先尝试搜索 然后审查元素：

有两处出现了回显，但是观察第一行，我们的代码直接原封不动的回显出来，估计八成就是HTML实体编码了，这个没办法，没法绕过。那么下面那条语句会不会是一个突破口呢？

尝试构造："><script>alert(/xss/)</script>

成功闭合前面的标签，完成突破，弹窗完毕

L3

还是先尝试搜索：<script>alert(/xss/)</script> ，然后审查元素

和上图是一样的，于是尝试'><script>alert(/xss/)</script> ，只不过这次是用单引号闭合的

发现<,>,' 都被转义了，那么这个时候就想，既然闭合不了，那么能不能通过给标签新加一个属性，来达到运行JavaScript的目的呢？

尝试:'onfocus='alert(/xss/)' 当点击文本框时实现弹窗（觉得实现效果不好的话可以尝试添加其他的事件属性）

L4

还是先尝试搜索："><script>alert(/xss/)</script> ，然后审查元素，

发现尖括号被过滤了，那尝试上面的思路如何呢？构造'onfocus='alert(/xss/)' 发现应该把单引号换成双引号去闭合，即："onfocus='alert(/xss/)'完成弹窗

L5

尝试搜索："><script>alert(/xss/)</script> ，然后审查元素:

发现在尖括号中的script会被替换成scr_ipt，导致