xss-labs第三关
初始页面:
在搜索栏中输入test,查看源代码:
那就试一试最基本的<script>alert('xss')</script>:
查看源代码:
这儿不论是标签<h2>还是<input>标签的属性值中我们的payload都被编码转义了,所以我们不能用前面两关的办法了。
那此时就用<input>来构造一个特殊事件:'onclick'=alert(1)
修改完keyword之后再点击一次搜索框即可。
初始页面:
在搜索栏中输入test,查看源代码:
那就试一试最基本的<script>alert('xss')</script>:
查看源代码:
这儿不论是标签<h2>还是<input>标签的属性值中我们的payload都被编码转义了,所以我们不能用前面两关的办法了。
那此时就用<input>来构造一个特殊事件:'onclick'=alert(1)
修改完keyword之后再点击一次搜索框即可。