XSS-lab

alert（）弹窗 onclick 单击鼠标 onl oad 加载完成 noerror加载失败执行 %0a %0d 都是换行的意思

第一关

第一关没有明确的xss攻击点，所以可以尝试在URL栏里尝试输入弹框语句

level1.php?name=<script>alert(1)</script>

第二关

第二关中打上跟第一题的代码然后查看页面源代码

可以看出这一关输入的值在input标签中的value值中，所以输入js代码是不会执行的，所以我们要把input标签补齐然后再进行js代码的输入

"><script>alert(1)</script>

第三关

第三关使用一下会发现<>被htmlspecialchars码了

在htmlspecialchars编码下特殊符号会被编译成其他编码

<  '&lt;');  
>  '&gt;');  
"  '&quot;');  
'  '&#039;');

所以我们可以试一次不带<>符号的，可以尝试先闭合那个input标签然后再添加一个”动作“然后让他弹窗

由上面的html编码可以看出一般单引号不会被编译所以我么尝试使用单引号进行尝试

先闭合input标签，然后添加动作