学到这里，其实如果怀疑有xss漏洞，第一步可以使用xss盲打，先去试探一下

如果不行，查看失败原因，是不是被过滤了。

还是未找到xss漏洞，通过源码，再次判断，是否有xss漏洞。

下面，进行pikachu靶场。

 

 查看源码，发现被输入的内容放到网页的js代码中了

于是想到是不是可以利用js代码插入，利用漏洞。

观察js代码,  发现可以用<script>闭合:

</script><script>alert('Bye~')</script>

这样插入以后，就可以利用漏洞，便成功了。

 

 如果想要预防这种攻击，

在JS的输出点应该使用 \ 对特殊字符进行转义。

不要使用htmlspecialchars函数，价值极低（js代码中)。