搜索1后,审查元素:
猜测<font>标签中没有进行XSS特殊字符转义,而在<font>标签内,可使用<script>标签:
<font>
<script>
<script>alert(1)</script>
该模块对姓名、电子邮件、网站做过滤处理,但评论处存在XSS:
在<font>标签内,直接使用<script&
<script&