31、xss之htmlspecialchars绕过演示
XSS绕过-关于htmlspecialchars()函数
如果前端对message进行默认编码的话,他是不会对单引号进行编码的
我们来到pikachu的xss htmlspecialchars漏洞
我们在源码中可以看到很多的编码,我们发现除了单引号以外都被编码了,所以单引号是没有被处理的
所以我们可以这样使用,弹出了111
XSS绕过-关于htmlspecialchars()函数
如果前端对message进行默认编码的话,他是不会对单引号进行编码的
我们来到pikachu的xss htmlspecialchars漏洞
我们在源码中可以看到很多的编码,我们发现除了单引号以外都被编码了,所以单引号是没有被处理的
所以我们可以这样使用,弹出了111