1.这题的过滤规则跟上一题差不多,只不过对输入的数据进行判断有没有带"http://"这个协议头。2.那也就是说我们输入的数据必须要带有"http://"才可以,上一题的paylaod:javascrip%0at:alert('xss')我们需要添加"http://"进去而且不妨碍原代码的执行,那么可以使用注释法javascrip%0at:alert('xss')<!--http://...