摘要： Xss(reflect) low 查看源代码，可以看见它对于输入的参数没有任何过滤，直接输入下列代码，成功弹出 <script>alert(/xss/)</script> medium 查看源代码可以看见，这里对输入进行了过滤，基于黑名单的思想，使用str_replace函数将输入中的script标 阅读全文