反射型

low

查看源代码,没有任何过滤

构造

medium

这里是过滤了

high


这里把双写和大小写和JavaScript都过滤了,用事件来绕过

impossible


这里使用htmlspecialchars进行实体转换并且输出的结果还不能使用事件来绕过,不可能绕过

存储型

low

没有任何过滤,在留言写XSS语句

刷新触发XSS

medium


这里name过滤了,message用了htmlspecialchars,双写绕过

这里限制了输入数,前端修改

high


这里还是反射型的思路,

impossible


输入经过HTML编码,不能注入