实验室：将XSS反映为带有角括号的JavaScript字符串，双引号HTML编码和单引号逃脱了

1. 在搜索框中提交一个随机的字母数字字符串，然后使用Burp Suite拦截搜索请求并将其发送给Burp Repeater。
2. 观察到随机字符串已反映在JavaScript字符串中。
3. 尝试发送有效载荷test'payload并观察到您的单引号会被倒退，以阻止您从字符串中脱颖而出。
4. 尝试发送有效载荷测试\有效载荷并观察到您的后斜线不会被逃脱。

5. 用以下有效载荷替换输入，以突破JavaScript字符串并注入警报：

   \' - 警报（1）//
6. 通过右键单击，选择“复制URL”并将URL粘贴到浏览器中，验证该技术的工作。加载页面时，它应该触发警报。

迈克尔·索默（Michael Sommer）