Javascript XSS可以工作，但只有一个字

也许这是个奇怪的问题，但我会尽力解释清楚。目前我正在测试一个网站，用于xss跨站点脚本。 首先，我尝试了alert1，结果是[removed]alert1[removed]，但是 我只是好奇，为什么打印helloworld有效而helloworld无效

由于混乱的HTML，空间启动了另一个属性

看看Chrome的inspector，突出显示的语法清楚地说明了发生了什么：

<input onfocus=alert("test lol") autofocus>

变成：

---

Chrome试图修复HTML，lol成为另一个属性。我不知道自动对焦到哪里去了。。。与网站的XSS保护无关或缺乏XSS保护，只与浏览器如何解释糟糕的HTML有关。

您需要发布代码，我们无法猜测您在做什么。它会将文本放入DOM源中，还是会向其发出警告？属性值应该被引用，所以在第一个单词之后，它可能不再考虑属性值。这似乎与PHP无关。很抱歉，我将在稍后添加页面示例。好的，我已将其添加到问题中，所以有人知道了吗？@JelmerdeVries您没有提供代码。转义代码的后端代码很重要，而不是前端，而且您使用的屏幕截图对我们来说完全没有用处。但是为什么alertdocument.cookie不起作用呢？哦，现在我明白了，这是一个非常好的答案！非常感谢！嗨，杰尔梅德弗里斯。如果这个或任何答案已经解决了你的问题，请通过点击复选标记来考虑。这向更广泛的社区表明，你已经找到了一个解决方案，并且给了回答者和你自己一些声誉。没有义务这样做。