*******xss有输入的地方就有可能(个人理解)
http://www.2144.cn/(很多留言的地方)
*******就找到一个留言的地方,先简单的上<script>alert(1)</script>```发现ri过滤、、、、
*******既然这样就用img,妈的 还是不可以。
*******我记得script这样应该是可以连接起来的,来抵消过滤 。。。发现找哦不到。。或许是记错了。。
*******有上传图片,后来想起抓包,妹的学小夜的放在图片网址闭合后面也不可以。。
*******图片必然实在img标签,就研究了下img的xss,onerror这个事件,就直接在img x 查看元素有这个。可是不弹啊
*******后来查了下这个事件,是图错了才指向这个,就把图片地址该错,,然后 、、、、x成了
