实验室：用角括号html编码的XSS将XSs反映为属性

1. 在搜索框中提交一个随机的字母数字字符串，然后使用Burp Suite拦截搜索请求并将其发送给Burp Repeater。
2. 观察到随机字符串已反映在引用属性中。

3. 用以下有效载荷替换输入，以逃避报价属性并注入事件处理程序：

   “ onmouseover =”警报（1）
4. 通过右键单击，选择“复制URL”并将URL粘贴到浏览器中来验证该技术。当您将鼠标移到注入的元素上时，它应该触发警报。

迈克尔·索默（Michael Sommer）