NodeJS - XSS-href

参考：https://owasp-skf.gitbook.io/asvs-write-ups/cross-site-scripting-href-xss-href/kbid-3-xss-url

输入https://www.baidu.com再点击visit，会跳转至百度页面，这里可能存在xss注入点

并且可以看到此处href值被修改为了百度的url，如果此处构造JavaScript语句，可能造成xss

如果输入href="<%- xss %>，f12发现并没有被转义，尝试xss：javascript:alert('XSS')