第一關： 沒有做任何的過濾 我們試下 第二關： 我們用"> 有轉義 參考HTML的轉義 輸入的 " > < 被做了轉義處理，變成了">< 我們用javascript裏邊的oninput事件試試 我們用12’ οninput='alert(12) 第四關； 做了過濾 用"οninput="alert(‘guest’)試試 第五關 被替換了我們換用大寫的被替換了我們換用大寫的試試 發現還是不行 我們用

>>阅读原文<<