WebGoat-XSS

xss-7 这里直接点击购买看一下有哪些数据可以回显，然后发现是card number，然后在card number这个输入框注入代码: <scrpt>alert('xxx')</scrpt> or <scrpt>console.log('xxx')</scrpt> 源码部分： Java Pattern compile(String)用法及代码示例_pattern.compile_yinger553的博客-CSDN博客 写了一个正则匹配 这里我们可以看到field1也就是card number我们是可以控制的，并且只是简单的拼接没有经过过滤，而这里根据前后文来看他有一些html标签，说明前端会解析我们的字符串，我们必定是可..