之前测试也都是正常的
今天看到他的测试内容: < img/src=1 onerror='top.onerror=alert; throw 2'>
看到这个 “/” 好像明白了什么, 不过为什么这种也会被浏览器识别成 img 标签 很纳闷
然后去看 js-xss 的 issues 发现了好像一样的 https://github.com/leizongmin/js-xss/issues/283
这么久也没回复,而且 js-xss 好像是不是也不维护了
虽然用其中的 onIgnoreTag 在其中做了标签名中是否有 “/” 然后去掉 “/” 后再调用 xss 函数
但是不知道还有没有类似的问题出现;
想问一下有没有别的好用的 xss 过滤办法