XSS实战篇

.思路：
 

       首先是对参数进行过滤猜测：
                 差了几个有特特征性的符号。发现今天这个站
1.对 "\,'"进行转义，
2.双引号进行过滤，
3.&地址符进行清空处理。
构造代码如下：
首先她对尖括号不过滤，但是有尖括号出现，就进行全部过滤。（F12自己看输出结果）



可以看到script变为我们熟悉的颜色，是不是很开心呢？
首先在a标签里，我们有两种思路：
1.闭合双引号，添加事件
2.闭合尖括号，添加标签
因为输入双引号会过滤，我就想到了可以利用转义字符绕过双引号过滤,

看来成功插入双引号。并成功“被闭合”
可成功执行我们插入的代码啦！

<span style="font-size:14px;color:#000000;">'\"\<><button>111111111111111111111</button>//也可以这样<img src="" onerror=事件><body .....></span>