某天渗透了一个站，发现直接在JS代码内有回显，应该会产生XSS漏洞
随后测试发现过滤了；分号 和=等号
百度了一下（好习惯），发现可以用% 0A与｛｝来进行绕过；分号，然后直接用alert即可XSS


XSS标签的script后面可以加空格和 aasd这种，也会执行script
用svg，body onload来触发xss ，可以用/来代替空格