尝试插入:javascript:prompt(123) 发现javascript的script被过滤了 尝试大小写,也被过滤了。 尝试将javascript字符分隔开,使用%0a和%0d无果。 于是使用
即html5的换行符,但是&需要Url编码%26 即插入:javas%26NewLine;cript:prompt(123) 发现是没有被过滤的。 接着放到浏览器上访问,成功弹窗,此次XSS绕过结束。
另外,经测试使用tab制表符html十进制编码	也是可以进行绕过的,同样&#需要进行URL编码,即%26%23
大佬姿势新颖 学到了
