xss地址:http://www.xssgame.com/
-
直接插入标签
-
构造语句,注意闭合
-
注意寻找输出点,这个会进行一次urlencode,和浏览器有关系,firefox过不了
-
javascript 伪协议
-
ng-non-bindable这个里面的标签都不会解析
正解:http://www.xssgame.com/f/JFTG_t7t3N-P/?utm_campaign={{$eval('alert(111)')}}
不懂,在这挖个坑再说
后面这几个看了一下都超过我现在的知识水平,我先去补一下知识点
参考wp: