1.利用name参数提交poc,查看返回的html代码,需要构造闭合
2.构造闭合,浏览器响应poc。
3.后台源代码分析
获取浏览器提交的keyword值,未进行过滤,输出在。
如果是keyword提交的是,返回的就会是,javascript引擎并不会执行//,php处理后返回的html就会是 //“>,//是注释的作用,javascript引擎执行
1.利用name参数提交poc,查看返回的html代码,需要构造闭合
2.构造闭合,浏览器响应poc。
3.后台源代码分析
获取浏览器提交的keyword值,未进行过滤,输出在。
如果是keyword提交的是,返回的就会是,javascript引擎并不会执行//,php处理后返回的html就会是 //“>,//是注释的作用,javascript引擎执行