知识点:倘若是在script、input标签当中,即可突破。Payload在script里直接alert 示例:首选输入测试语句<script>alert(/Micr067/)</script>,查看源码发现做了实体编码。使用xss实体绕过即可突破,先输入 ' oninput=alert`1` // 提交,在input中输入内容时触发事件,输入数字1即触发xss弹窗,获得flag{Network_security_Era}