xssgame记录

xss地址：http://www.xssgame.com/

1. 直接插入标签
   

2. 构造语句，注意闭合
   

3. 注意寻找输出点，这个会进行一次urlencode，和浏览器有关系，firefox过不了

4. javascript 伪协议

5. ng-non-bindable这个里面的标签都不会解析
   

正解：http://www.xssgame.com/f/JFTG_t7t3N-P/?utm_campaign={{$eval('alert(111)')}}

不懂，在这挖个坑再说

后面这几个看了一下都超过我现在的知识水平，我先去补一下知识点

参考wp:

https://lorexxar.cn/2017/07/23/xssgame-wp/