クロスサイトスクリプティング攻撃について_JavaScript スキル

一般的な攻撃は、スクリプトを書いて実行できるかどうかを確認することで、たとえば
と記述して、ページが読み込まれたときに実行できるかどうかを確認することで攻撃であるかどうかを判断できます。 、 それでおしまい。今のところ、このコードは通常の Web サイトでは実行されませんが、別の方法はどうでしょうか?

たとえば、
は、これを実装している Web サイトがおそらくいくつかあり、誰もがそれを知っています。
もっと猥褻なテスト例、'';!--"
=&{()} を見てみましょう。これは、xx があるかどうかをテストする良い例です。もう一度試して、どうなるかを確認してください。たくさんの Web サイトがあります。もし我慢できるなら、これが私が何気なく書いた例です。その後、いくつかの Web サイトをテストして確認しました。
ソース コード: '';!--";eval('alert('What叔父さん、一体何が起こっているのですか？ ')');"
SS>=&{()} そして、スクリーンショットを撮ってみてください (悪意はありません。テストだけです!): <script> alert("执行了我了哦！！！"); </script><script>alert(String.fromCharCode(88,83,83))</script> http://search.360buy.com/検索?