Question

我有以下html输入字符串

<p><script>alert("hi")</script></p>
<img src=x:alert('xss') height= "20" width ="40" onerror=eval(src) alt="xssdemo"</img>

不是使用反斜杠（'\'）来转义字符（''＆），而是完全删除这些字符将防止XSS弹出窗口？

基本上，在这里我不想使用传统的\转义，因为它将破坏html格式。我正在考虑完全删除字符本身。例如：height = \“ 20 \”。

Answer 1

不。反例：

<img src=nothing onerror=document.title++>

实际上，只要事先将其转换为JSFuck，您也可以用这种方式执行一些任意代码。