xss反射型

反射型XSS其实也是对用户的输入输出没有做过滤。

首先我们如果发现一个可能存在XSS漏洞的地方，我们可以加上">来闭合前面的标签不过在这里我们要先按F12来看网站的HTML结构做相应的调整，每个站都是不同的，不会存在万能的xss代码，所以我们还是要通过不断的修改payload来验证自己的想法。

很正常，在这个靶场是不适合" 这边后台会有过滤，那么这个时候我们可以尝试用  '  来闭合，有时候会有意想不到的情况。

输入单引号后成功的打乱了页面的部署，那么我们可以进一步深挖，最后得到xss的exp。

插入' oninput=alert(123) //

即可拿到flag