第一关： 没有做任何的过滤 我们试下 第二关： 我们用"> 有转义 参考HTML的转义 输入的 " > < 被做了转义处理，变成了">< 我们用javascript里边的oninput事件试试 我们用12’ οninput='alert(12) 第四关； 做了过滤 用"οninput="alert(‘guest’)试试 第五关 被替换了我们换用大写的被替换了我们换用大写的试试 发现还是不行 我们用

>>阅读原文<<