一般的攻击就是写一段脚本看是否能执行,就能判断是否是攻击了,比如说我写[removed] alert(“执行了我了哦!!!”); [removed],然后看看当页面加载的时候是否能执行,就行了。目前为止一般的网站这段代码都不会执行,但是换一种方式呢? 比如[removed]alert(String.fromCharCode(88,83,83))[removed],估计也米有几个网站执行吧,大家都知道的。 下面看更猥琐的测试例子, ”;!–“[removed]=&{()} ,这个是测试是否会有xx