XSS 有效，但只有 1 个字

Question

也许这是个奇怪的问题，但我会尽力解释清楚。目前我正在测试一个网站，用于 xss（跨站点脚本）。 首先，我只是尝试了 <script>alert(1)</script> 结果是 [removed]alert(1)[removed]，还有 <scr<script> 之类的，我尝试了更多。

现在我终于得到了一个可用的： <input onfocus=alert("test") autofocus> 是的，它确实吐出 'test' 但是当我输入 alert(document.cookie) 它已经不再吐出任何东西了，也 <input onfocus=alert("test lol") autofocus> 不再吐出任何东西，但就像我现在怎样才能得到饼干？为什么它吐出测试或 ahihawiejawije 而不是 ahjiahwe jijaja 或测试测试，只有一个词？整数也适用。

还有所有 html 代码，我尝试输入的代码确实像 <div> 或 <iframes> 这样工作，所以我怎样才能在页面上显示 document.cookie spitted？

这是我输入 XSS 代码的地方： https://gyazo.com/d260e065a305941e92a414a321501134

当我保存它时，我可以在这个页面上查看它： https://gyazo.com/723c1bff1d6fb7f3341a5b19cadcd264

但是由于 document.cookie 不起作用，它只会显示一个输入栏，但是当我将 document.cookie 替换为 "lol" 时，它给了我这个： "lol"（不能放置超过 2 个链接 bcz 信誉）所以它与 lol 一起工作。

那么怎么可能像 AAAAAAAAA 这样的一个词或一个大词起作用，而不是像 aaa aaa 或 document.cookie 这样的 2 个词？

Answer 1

I'm just curious why printing out helloworld does work and hello world not.

space，因为乱七八糟的HTML，启动了另一个属性。

看看 Chrome 的检查器，语法突出显示清楚地表明发生了什么：

<input onfocus=alert("test lol") autofocus>

变为：

Chrome 尝试修复 HTML，而 lol") 成为另一个属性。 （我不知道 autofocus 去了哪里......）与网站的 XSS 保护（或缺乏）无关，只是浏览器如何解释错误的 HTML.