对于新手来说，往往会在留言地方插入<script>alert(1)</script>来检测是否有存储xss，事实是基本上不会弹框的，为啥？

通过查看源码，可知道<>标签被实体编码了。

是前端和后端设置了过滤？非也！。  因为有些标签自身具备htmlencode功能，标签有:

<textarea>

<title>

<iframe>

<noscript>

<noframes>

如果绕过？那就闭合前面的标签就是了 ，比如</textarea><script>alert(1)</script>

这里有的人问了，为啥</textarea>没有被html编码？是的，只有这个标签不被编码，其余的一律编码。至于原因就比较深入了，可以参照文章http://bobao.360.cn/learning/detail/292.html

ps: <textarea>在文本留言处是最常用的，特征也很明显，比一般的input输入框要大，而且右下角可拖动设置框大小。

最新文章

1. Linux 用户添加sudo 权限
2. Nova Suspend/Rescue 操作详解 - 每天5分钟玩转 OpenStack（35）
3. node05-fs
4. python任务执行之线程，进程，与协程
5. Codeforces Round #360 (Div. 2) C D E
6. [资源] Resources on Self-Driving Car
7. Windows不重启就使环境变量修改生效
8. xcode针对不同IOS版本的代码编译问题
9. Webpack打包构建太慢了？试试几个方法
10. BZOJ 1355: [Baltic2009]Radio Transmission [KMP 循环节]
11. java linux 项目经常无故被关闭　进程无故消息
12. mybatis 参数格式异常-- Error querying database. Cause: java.lang.NumberFormatException: For input string
13. Android 动画 (1) 基础
14. [Visual Studio] 自定义类模板
15. 【转】java取整和java四舍五入方法
16. Java虚拟机运行时数据区
17. Jmeter入门--关联
18. 使用jQuery包装节点
19. cocostudio 使用教程
20. 自己从0开始学习Unity的笔记 III （C#随机数产生基础练习）

热门文章

1. js三大框架出现的意义
2. 递归&amp;时间模块&amp;os模块
3. Maven 运行 tomcat:run 时出现 Unable to compile class for JSP...
4. [板子]Kruskal
5. There is no Action mapped for namespace [/] and action name [login] associate解决办法 .
6. sql查询分类和所有子类
7. js对当前时间进行处理
8. spring boot（二）热部署
9. jitamin基于lnmp环境搭建
10. FPGA之IO信号类型深入理解