level1
level2
input那里没有编码,利用如下
level3
利用属性触发事件,执行javascript
leve4
同上一题,但是换了闭合符
leve5
题目过滤了”on“,则使用闭合input标签,改用 <a href> 标签来调用javascript
leve6
大小写绕过
level7
双写”on“绕过
level8
unicode编码绕过
level9
这题检测了链接的合法性,所以可以在javascirpt代码后面加上一个合法的连接即可
payload:javascript:alert('xss')//http://baidu.com
level10
t_sort值可以被修改
向t_sort中插入恶意代码
