公司内部有一个类似“论坛”的系统。其实也不是想弄什么XSS攻击,只是想在发表的主题上加一个样式什么的,比如<span style="color:red">哈哈,我的题目是红色的!</span>.
但是,发现系统在前台(这个问题还不大,可以禁用JS等方式来绕过验证)和后台都过滤掉了"<"符号,用全角的"《"来替换。
我只想问:如果只是简单的过滤掉了"<"符号的话还有机会“XSS”吗?
如果可以的话,如何实现呢?
滤掉不合适,转意就行,把 < 转成 <
我说的是如何要绕过这种“防攻击”的措施,而不是如何过滤。
