摘要： 某网站存在一个 storeXSS 利用点如下<input type=text value="[xsscode]">可以使用 双引号绕过去属性限制，但是不能采用 < > 比较郁闷开始打算 "style="kj:expression(EXP)<input type=text value=""style="kj:expression(EXP)">后来查了查资料！发现expression是IE 才能使用的！郁闷了！而且要XSS的对象是老外 ，不一定会采用IE ，这样跨站攻击起来了，但是效 阅读全文