现在我们需要将这个<a href="123">what do you see?</a>
酿成xss弹窗格式,准确的xss完整代码 <a href="" οnclick=alert('xss')>a</a>,这样
但是这个我们输入的东西都被浏览器当字符串分析了,那要怎么办,ok呀,直接闭合
2、闭合,直接输入'1,乐成闭合
我的明白是这样的
document.getElementById("dom").innerHTML = "<a href='"+str+"'>what do you see?</a>";
' "<a href=' "+str+" '>what do you see?</a>"
'"+str+"',这个部分就是单引号内里的全当字符串分析了,那就直接闭合之后,就是这样的
' '' '1,拼接进去,就是这样
' "<a href=' " ' 123 '' '>what do you see?</a>""'>what do you see?</a>",
闭合出来,他的情势就是这样的,因为背面没有闭合,以是背面多出来了一个单引号,但是不用理他
<a href=123 '
