Cross-site scripting Lab8

# Cross-site scripting Lab8 本題在表單裡的評論藏有漏洞，並在點擊使用者名字時觸發 alert。一樣先進入網站。 ![image](https://hackmd.io/_uploads/B18G8PGSgx.png) 送出表單。 ![image](https://hackmd.io/_uploads/H1jxPDGHle.png) ![image](https://hackmd.io/_uploads/HygYvPGSll.png) 可以發現我們輸入的連結被放在 href，我們可以利用之前學到的去嘗試注入 `javascript:` 開頭的 URL。 ``` javascript:alert(1) ``` ![image](https://hackmd.io/_uploads/S1tUuDzBxg.png) 這樣其他使用者點到這個連結會自動觸發 alert。 ![image](https://hackmd.io/_uploads/B1DDOvMHxx.png) ---