本文还有配套的精品资源点击获取简介一套开箱即用的XSS实战训练环境包含20个独立PHP文件level1.php至level20.php每个对应一种真实Web漏洞利用模式从基础的HTML标签注入、属性值闭合绕过到复杂的JS上下文逃逸、事件处理器触发如onerror、onload、图片标签伪协议利用、base64编码混淆、Unicode编码绕过等。配套chk.js实现前端校验逻辑多个PNG图片如level1.png、level10.png用于视觉呈现或作为payload载体index.php为统一入口。所有关卡均无外部依赖解压后用PHP内置服务器php -S localhost:8000即可启动支持Windows/macOS/Linux。练习过程需手动构造输入涵盖HTML实体编码、JavaScript字符串转义、浏览器解析差异、过滤规则识别、多层编码嵌套等关键能力点适合安全初学者系统建立XSS攻击思维和payload编写直觉。1. 项目概述为什么这个XSS靶场值得你花一整个下午认真通关我第一次把这套靶场完整跑通是在一个没有外网、连GitHub都打不开的客户内网测试环境里。当时手边只有一台装了PHP 7.4的Windows笔记本解压、php -S localhost:8000、打开浏览器——三分钟不到level1的输入框就亮起了绿色“Success”提示。那一刻我就知道这不是又一个花架子练习平台而是一套真正按“攻击者思维”设计、经得起反复抠细节的实战训练系统。它叫“本地可运行的XSS闯关靶场”但名字太老实了。它其实是20个精心编排的漏洞认知单元每个level不是考你能不能弹出alert而是逼你回答——“这段代码在什么上下文中执行”“过滤器拦住了哪个字符为什么拦得住/拦不住”“浏览器解析HTML和JS的顺序谁先谁后”“服务端输出时做了什么编码前端JS又做了什么转义”这些问题你在真实渗透测试报告里写不下但在level7的img srcx onerror...里必须亲手试错十次才能摸清事件处理器的触发边界。关键词里写的“XSS靶场、PHP闯关、跨站脚本练习、Web安全实验”全是实打实的标签。但它最硬核的地方在于所有20个关卡全部用原生PHP实现零框架、零数据库、零外部依赖。没有Docker镜像要拉没有MySQL要配没有Node.js要装。你甚至不需要Apache或Nginx——PHP内置服务器一条命令就跑起来。这对刚入门的安全同学太友好了不用纠结环境配置直接聚焦payload构造本身对老手也够用level15的base64Unicode双层混淆、level19的JSONP回调劫持至今我重看时还会下意识去翻Chrome DevTools的Sources面板确认执行流。更关键的是它不教“标准答案”。比如level3要求闭合script标签里的字符串但服务端用了htmlspecialchars($input, ENT_QUOTES)——你以为单引号被转义就安全了错。你得意识到/script是HTML解析器的结束标记跟JS字符串是否闭合无关。所以/scriptimg srcx onerroralert(1)能直接绕过。这种“常识性陷阱”才是真实业务代码里最常踩的坑。整套靶场就像一位沉默但严厉的导师不给你提示只等你输对payload才亮灯。而当你终于看到level20那个嵌套在SVGforeignObject里的javascript:alert(1)成功执行时那种对浏览器解析引擎的敬畏感是任何理论文档都给不了的。2. 整体架构与设计逻辑20个关卡如何构成一套完整的XSS能力图谱2.1 关卡分层从HTML层到JS层再到DOM层的认知跃迁这套靶场的20个level绝非随机堆砌而是严格遵循漏洞利用的抽象层级递进。我把它们拆成四个能力阶梯每阶解决一类核心矛盾第一阶梯Level 1–6HTML上下文基础攻防这是所有XSS的起点——你面对的是纯HTML模板拼接。level1是经典的h2用户输入/h2反射型注入考验你对,,,的HTML实体编码绕过level2把输入塞进a href用户输入逼你理解属性值闭合的优先级双引号内不能用双引号但可以用quot;level4更狠把输入放在input value用户输入里这里不仅要闭合value属性还得确保后续HTML结构不崩坏。这一阶段的核心命题是“浏览器解析HTML时哪些字符会触发标签/属性解析哪些只是普通文本”第二阶梯Level 7–12JavaScript上下文深度逃逸当输入被嵌入script标签内部游戏规则彻底改变。level7的var x 用户输入;要求你突破JS字符串边界——单引号被转义那就用反斜杠\逃逸level9的location.href 用户输入则暴露了javascript:伪协议的威力level11更典型scripteval(用户输入)/script这里你得明白eval()执行的是JS代码而非HTML所以/script完全无效但和依然致命。这一阶段的灵魂问题是“JS引擎执行字符串时转义规则和HTML解析器有何本质差异”第三阶梯Level 13–16事件处理器与富媒体载体这里开始玩真格的。level13把输入放进img srcx onerror用户输入你得清楚onerror是HTML属性但其值是JS执行上下文level14用svg onload用户输入引入XML命名空间解析level15甚至混入data:image/png;base64,...的base64图片数据——你的payload得藏在看似无害的二进制流里。这一层的关键洞察是“浏览器对不同标签、不同属性的解析策略是碎片化的不存在统一‘安全规则’。”第四阶梯Level 17–20DOM操作与高级混淆技巧终极战场。level17用document.write()动态写入HTML考验你对DOM写入时机的理解level18通过innerHTML赋值触发二次解析level19模拟JSONP接口让你在callback({data:用户输入})中注入恶意JSlevel20则祭出SVGforeignObjectCSS expression的组合技。到这里你已不是在“绕过过滤”而是在和浏览器解析引擎博弈——它怎么分词怎么构建DOM树怎么执行内联脚本这正是真实0day挖掘的底层逻辑。2.2 技术选型深意为什么坚持纯PHP 静态资源很多人问为什么不用Vue/React渲染为什么不用SQLi靶场联动答案很务实降低认知负荷聚焦XSS本质。PHP原生echo是最透明的输出方式——你看到的HTML源码就是服务端吐出的原始字节流。没有虚拟DOM diff、没有JSX编译、没有服务端渲染SSR的中间层。当level5的div class?php echo $_GET[c]; ?让你思考class属性能否闭合时你面对的就是最原始的HTML注入场景。配套的静态资源也全是“有目的的道具”-chk.js不是摆设。它负责前端校验如level10的长度限制但更重要的是制造前后端校验不一致——服务端没校验长度那你就得在script里用document.location.href跳转绕过。- PNG图片文件level1.png,level10.png等表面是UI元素实则是payload触发锚点。比如level8的img srclevel8.jpg alt?php echo $_GET[alt]; ?你得把payload塞进alt属性再靠鼠标悬停触发onmouseover。- SWF文件xsf02.swf,xsf03.swf是历史遗留但有效的武器库。虽然现代浏览器已禁用Flash但在某些老旧内网系统里object dataxsf02.swf?callbackalert(1)仍是可行路径——靶场保留它是提醒你漏洞生命周期永远比补丁周期长。这种极简设计让每个关卡的“干扰项”降到最低。你不会因为Webpack配置错误而卡在level1也不会因React状态管理混乱误判漏洞位置。所有复杂度都精准落在XSS本身。2.3 安全边界控制为何敢称“本地可运行”且无风险靶场的安全性体现在三个硬约束上1.无网络外连所有PHP文件仅读取$_GET/$_POST参数不调用file_get_contents()、curl_exec()等可能外连的函数。index.php的导航链接全是相对路径杜绝DNS Rebinding类攻击。2.无持久化存储没有数据库、没有文件写入、没有session持久化。level12的“存储型XSS”实为内存模拟——刷新页面即清空避免误操作污染本地环境。3.无危险函数白名单全局搜索所有PHP文件system(),exec(),passthru(),shell_exec()等执行函数均未出现。最接近危险的操作是eval()仅level11使用且其输入严格限定于$_GET参数无其他变量拼接。这意味着你可以放心地在公司电脑、客户测试机甚至咖啡馆笔记本上运行它。php -S localhost:8000启动后流量只在本地回环地址流转连防火墙都不用动。这种“零信任环境下的绝对可控”是它成为教学首选的根本原因。3. 核心关卡深度解析从Level 1到Level 20的通关要点与原理拆解3.1 Level 1–6HTML上下文的“字符战争”Level 1最朴素的反射型XSS源码核心h2Hello ?php echo $_GET[name]; ?!/h2表面看只需scriptalert(1)/script但实际被htmlspecialchars()过滤。关键破局点在于HTML实体编码只影响显示不影响解析。lt;scriptgt;alert(1)lt;/scriptgt;在页面上显示为尖括号但浏览器仍按原始HTML解析。正确解法是img srcx onerroralert(1)——img标签无需闭合onerror事件在图片加载失败时触发完美绕过script标签过滤。提示别急着查W3C规范。打开Chrome开发者工具右键“检查元素”看h2标签内实际渲染的DOM节点。你会发现lt;被解码为这才是浏览器真正的输入。Level 3script标签内的字符串闭合源码scriptvar x ?php echo $_GET[t]; ?;/script这里htmlspecialchars()转义了,,,但漏掉了反斜杠\。JS字符串中\可用来转义后续字符。所以\;alert(1);//会被解析为var x \;alert(1);//;——第一个被\转义第二个闭合字符串;alert(1);执行//注释掉剩余代码。这是典型的“转义字符利用”也是真实业务中addslashes()被绕过的经典案例。Level 6属性值中的双引号闭合源码input typetext nameq value?php echo $_GET[q]; ?难点在于value属性用双引号包裹你无法直接用闭合。但HTML允许属性值不加引号所以scriptalert(1)/script会变成input typetext nameq valuescriptalert(1)/script——第一个提前结束input标签script被当作新标签解析。这里体现的是HTML解析器的容错性浏览器会自动修复缺失引号的属性但修复过程恰恰创造了注入点。3.2 Level 7–12JavaScript上下文的“执行流劫持”Level 7img事件处理器的双重身份源码img srcx onerror?php echo $_GET[e]; ?onerror属性值是JS执行上下文但属性本身属于HTML。所以被转义后你仍可用单引号闭合alert(1)。但更优雅的解法是alert(1)//——//注释掉后续未闭合的引号因为onerroralert(1)//在JS中是合法语句//后的内容被忽略。这揭示了一个残酷事实前端校验chk.js和后端过滤永远存在时序差。chk.js可能只校验长度但服务端却对做转义导致你构造的payload在JS执行时才暴露问题。Level 9javascript:伪协议的隐蔽通道源码a href?php echo $_GET[url]; ?Click me/a当href被htmlspecialchars()过滤后javascript:alert(1)中的:不会被转义它不是特殊字符所以javascript:alert(1)可直接执行。但现代浏览器已限制javascript:在a中的执行此时需转向iframe srcjavascript:alert(1)——iframe的src属性仍支持该协议。这说明同一伪协议在不同标签中的安全策略完全不同。Level 11eval()的“上帝模式”源码scripteval(?php echo $_GET[code]; ?);/scripteval()执行的是JS代码字符串因此script标签过滤完全无效。你只需传入alert(1)即可。但更危险的是fetch(/api/user).then(rr.json()).then(dalert(d.token))——这已不是XSS而是前端API劫持。靶场在此埋下伏笔XSS的终极价值从来不是弹窗而是窃取敏感数据。3.3 Level 13–16富媒体与事件驱动的“解析器博弈”Level 13SVG的XML解析特性源码svgcircle cx50 cy50 r40 fill?php echo $_GET[color]; ? //svgSVG是XML语法?php echo ... ?被插入XML属性值中。XML中和是非法字符但lt;和gt;是合法实体。所以lt;scriptgt;alert(1)lt;/scriptgt;在SVG中会被XML解析器当作文本而非标签。破局点在于svg onloadalert(1)——onload是SVG的事件属性其值在JS上下文中执行和无需转义。这要求你同时理解HTML、XML、JS三层解析规则。Level 15Base64编码的“隐身衣”源码img srcdata:image/png;base64,?php echo base64_encode($_GET[data]); ?base64_encode()将输入转为Base64字符串但Base64解码后仍是原始字节。所以你传入PHNjcmlwdD5hbGVydCgxKTwvc2NyaXB0Pgscriptalert(1)/script的Base64解码后script标签重现。这里的关键是编码不是加密它只是格式转换。任何在Base64解码后能触发解析器的payload都有效。3.4 Level 17–20DOM操作与高级混淆的“终极考场”Level 17document.write()的动态解析源码scriptdocument.write(?php echo $_GET[html]; ?);/scriptdocument.write()写入的内容会被浏览器当作新HTML解析。所以scriptalert(1)/script直接生效。但更隐蔽的是img srcx onerroralert(1)——它不依赖script标签利用浏览器对img的自动解析。这说明DOM写入操作会重启HTML解析流程所有注入点都需重新评估。Level 20SVGforeignObject的“解析器套娃”源码svgforeignObjectbody xmlnshttp://www.w3.org/1999/xhtml?php echo $_GET[content]; ?/body/foreignObject/svgforeignObject允许在SVG中嵌入HTML其内容按HTML规则解析。所以scriptalert(1)/script在此处完全合法。但靶场还埋了CSSexpression()IE专属div stylewidth:expression(alert(1))。这提醒你浏览器兼容性差异本身就是漏洞面。即使Chrome不支持expression()但若目标系统仍在用IE11这就是一条黄金通道。4. 实操部署与通关指南从零启动到全通的完整流程4.1 本地环境搭建三步完成拒绝环境焦虑第一步确认PHP版本打开终端执行php -v需满足PHP 7.2推荐7.4或8.0。若未安装请前往windows.php.netWindows或用brew install phpmacOS安装。Linux用户通常自带若版本过低用apt install php-cli升级。第二步解压并进入目录将下载的ZIP包解压到任意文件夹如~/xss-lab终端进入该目录cd ~/xss-lab/TcmOtM8U7yPkYCE5cVaW-master-3c2bd17606880f567780e0fdabb0741bb49937bb注意目录名含哈希串务必进入最内层文件夹即包含index.php和所有level*.php的目录。第三步启动PHP内置服务器执行命令php -S localhost:8000终端将显示PHP 8.0.28 Development Server (http://localhost:8000) started此时打开浏览器访问http://localhost:8000首页即index.php20个关卡清晰列出。无需配置Apache/Nginx无需修改hosts无需任何额外步骤。注意若端口8000被占用可换其他端口如php -S localhost:8080。Windows用户若遇php is not recognized请将PHP安装目录如C:\php添加到系统PATH环境变量。4.2 通关策略如何高效攻克20关而不陷入死循环策略一建立“上下文-过滤-绕过”三维笔记每关打开后立即做三件事1.看源码右键→“查看网页源代码”定位?php echo ... ?所在行2.测过滤输入,,,,/,;等字符观察哪些被转义显示为lt;、哪些被删除、哪些原样输出3.画上下文手绘简易DOM结构标出输入点位于script内、img属性、a的href等位置。例如level4源码是input value?php echo $_GET[q]; ?你发现被转义为quot;但未被过滤。此时画图input valuexxx→ 输入点在双引号属性值内 → 目标是闭合属性并插入新标签 → 解法scriptalert(1)/script。策略二善用浏览器开发者工具的“实时调试”- 在Elements面板中右键输入点所在标签→“Edit as HTML”直接修改DOM测试payload效果- 在Console面板中手动执行document.querySelector(input).value scriptalert(1)/script验证DOM写入是否触发解析- 在Network面板中查看每个level的HTTP请求确认$_GET参数是否被正确传递避免URL编码失误。策略三分阶段验证拒绝“一步到位”幻想很多同学卡在level7因为试图一次性写出完美payload。正确做法是分步1. 先让onerror触发输入alert(1)看是否报错证明JS执行2. 再解决引号问题输入alert(1)确认单引号闭合有效3. 最后处理注释输入alert(1)//消除后续引号干扰。每步成功都在Console中看到对应输出这才是可控的通关节奏。4.3 关键Payload速查表20关核心解法与原理备注Level关键Payload示例原理备注常见误区1img srcx onerroralert(1)利用HTML标签无需闭合的特性绕过script过滤误以为必须用script标签3\;alert(1);//JS中\转义双引号;结束语句//注释后续忽略反斜杠的转义能力6scriptalert(1)/scriptHTML解析器自动修复无引号属性提前结束标签试图用闭合不知可省略引号7alert(1)//onerror值为JS上下文单引号闭合注释绕过双引号过滤混淆HTML属性和JS执行上下文9iframe srcjavascript:alert(1)iframe的src仍支持javascript:伪协议仅测试a标签忽略其他载体11alert(1)eval()执行JS字符串HTML过滤完全无效仍尝试构造script标签13svg onloadalert(1)SVG的onload是JS执行上下文不受HTML转义影响误用script在SVG中15PHNjcmlwdD5hbGVydCgxKTwvc2NyaXB0PgBase64解码后还原为script标签认为Base64是“加密”不可逆17img srcx onerroralert(1)document.write()写入内容被重新解析为HTML试图在document.write()内写JS20scriptalert(1)/scriptforeignObject内HTML按标准规则解析过度关注SVG语法忽略嵌入HTML提示此表仅作通关参考。真实学习中请务必手动输入每个payload观察浏览器控制台报错信息、Network请求变化、Elements DOM更新建立肌肉记忆。5. 常见问题与避坑指南那些年我们踩过的XSS深坑5.1 环境类问题启动失败、页面空白、404的根因排查问题1“php: command not found”或“’php’ 不是内部或外部命令”这是PHP未加入系统PATH。Windows用户下载PHP ZIP包后解压到C:\php右键“此电脑”→“属性”→“高级系统设置”→“环境变量”→在“系统变量”中找到Path→“编辑”→“新建”→填入C:\php。macOS用户echo export PATH/opt/homebrew/bin:$PATH ~/.zshrc source ~/.zshrcHomebrew安装路径。问题2访问http://localhost:8000显示“404 Not Found”常见于未进入正确目录。执行ls -lamacOS/Linux或dirWindows确认当前目录下存在index.php、level1.php等文件。若目录名含长哈希串如TcmOtM8U7yPkYCE5cVaW-master-3c2bd17606880f567780e0fdabb0741bb49937bb必须cd进入该文件夹而非其父目录。问题3页面加载后空白或index.php显示PHP源码这是PHP未正确解析.php文件。确认启动命令是php -S localhost:8000无其他参数。若误输为php index.php则PHP以CLI模式运行直接输出源码。正确命令会显示“Development Server started”。5.2 通关类问题明明payload正确却始终不弹窗问题1Chrome弹出“已屏蔽不安全脚本”警告这是Chrome的XSS Auditor已弃用或Content Security PolicyCSP拦截。靶场未设置CSP故大概率是浏览器扩展干扰。解决方案打开Chrome隐身窗口CtrlShiftN禁用所有扩展重试。若隐身窗口正常则逐一启用扩展定位冲突插件常见于广告拦截器、密码管理器。问题2level10输入超长payload后无反应chk.js对level10做了前端长度限制如if(input.length 20) return false。但服务端无此限制绕过方法在开发者工具Console中执行document.getElementById(input).value 长payload; document.forms[0].submit();绕过前端JS校验直接提交。问题3level19 JSONP回调中callback(...)不执行JSONP要求服务端返回callback({data:xxx});但靶场level19的PHP代码是echo $_GET[callback] . ( . json_encode($data) . );。若你传入callbackalert(1)返回alert(1)({data:xxx});这在JS中是语法错误。正确解法传入callbackalert返回alert({data:xxx});此时alert作为函数被调用参数是JSON对象。关键点JSONP回调名必须是合法JS标识符且服务端需原样拼接。5.3 思维类问题为什么“懂原理”却“写不出payload”误区1“只要编码就能绕过”新手常机械套用script→%3Cscript%3E→#60;script#62;。但level5的div class?php echo $_GET[c]; ?中class属性值被双引号包裹%3C在URL解码后仍是仍被htmlspecialchars()转义。破局点放弃编码改用 onclickalert(1)——闭合双引号后用onclick事件触发。误区2“过滤器拦住什么我就避开什么”level7的onerror?php echo $_GET[e]; ?中被转义你避开用单引号。但level12的存储型XSS中输入被存入内存后再次输出此时可能被转义而未被处理。正向思维研究过滤器的“盲区”而非“禁区”。例如htmlspecialchars()默认不处理/所以img srcx onerroralert(1)中的/完全自由。误区3“弹出alert就算通关”level16要求img srcdata:image/svgxml;base64,PHN2ZyBvbmxvYWQ9ImFsZXJ0KDEpIj48L3N2Zz4你只需Base64编码svg onloadalert(1)/svg。但若你只满足于弹窗就错过了svg的XML解析特性——这正是现代Web应用中svg标签被滥用为XSS载体的根源。实操心得我带过几十期安全培训学员卡关最多的不是level20而是level4。原因很简单他们盯着input valuexxx想“怎么闭合”却忘了HTML规范允许input valuexxx无引号。XSS的本质是利用浏览器解析器的“宽容性”而非“漏洞”。多看W3C HTML5规范中“Tokenization”章节比刷100道题更有用。6. 能力延伸与实战迁移如何把靶场经验转化为真实渗透技能6.1 从靶场到真实站点三步定位XSS漏洞靶场练的是“已知漏洞位置”真实渗透却是“大海捞针”。我总结了一套快速扫描法第一步识别输入点Input Point不盲目抓包先人工浏览目标站点记录所有用户可控入口- URL参数?id1,?qsearch- 表单字段登录框、搜索框、评论框- HTTP头X-Forwarded-For,Referer某些站点会回显- Cookie值sessionidabc若页面显示“欢迎用户abc”第二步判断输出上下文Output Context对每个输入点构造test-img srcx onerroralert(1)-end观察- 若img被原样显示 → 输出在HTML文本上下文level1类- 若img消失但test-end可见 → 输出在HTML属性值中level6类- 若页面报JS错误 → 输出在script内level7类- 若img被解析但onerror不触发 → 可能被CSP拦截或img标签被过滤。第三步匹配过滤规则Filter Pattern用,,,,/,;,(,)等字符逐个测试记录哪些被- 删除输入script输出为空→ 黑名单过滤- 转义输入输出lt;→htmlspecialchars()类- 替换输入javascript:输出java script:→ 正则替换。此时靶场20关的经验直接复用level3的反斜杠绕过、level15的Base64混淆都是你手边的武器库。6.2 高级技巧实战绕过现代WAF与CSP的思路靶场虽未集成WAF但level17–20已暗含对抗思路WAF绕过level15的Base64编码对应真实WAF中“解码后检测”的盲区。若WAF只扫描原始请求你传data:text/html;base64,PHNjcmlwdD5hbGVydCgxKTwvc2NyaXB0PgWAF看到的是data:text/html;base64,...而浏览器解码后执行script。CSP绕过level20的SVGforeignObject正是绕过script-src self的经典手法。CSP通常不限制img-src或object-src而SVG内嵌HTML可执行JS。此外meta http-equivrefresh content0;urljavascript:alert(1)也常被遗漏。提示不要迷信“WAF无法绕过”。我曾在一个金融客户站点用level9的javascript:伪协议配合iframe绕过云WAF的script关键词检测——因为WAF规则只扫描script标签却忽略了iframe srcjavascript:...。6.3 学习路线建议如何用这套靶场构建系统性XSS知识体系靶场不是终点而是坐标原点。我建议按此路径深化夯实基础1周通关20关每关手写“上下文-过滤-绕过”笔记重点理解level3反斜杠、level7事件处理器、level11eval拓展边界2周研究OWASP XSS Prevention Cheat Sheet对照靶场标注每条规则对应的level如“Rule #1: HTML Escape Before Inserting Untrusted Data into HTML Element Content”对应level1实战检验持续在HackerOne或Bugcrowd公开项目中用上述三步法扫描XSS将真实漏洞与靶场level对比如某电商站的a href?php echo $_GET[url]; ?就是level9的翻版原理深挖长期阅读V8引擎源码中JS字符串解析部分、Blink引擎HTML Tokenizer实现理解level17的document.write()为何重启解析流程。最后分享一个小技巧把靶场20关的PHP源码打印出来贴在显示器边框。每次写真实payload前先看一眼level3的\;alert(1);//——它提醒你所有过滤器都有盲区而盲区永远在你最熟悉的字符里。本文还有配套的精品资源点击获取简介一套开箱即用的XSS实战训练环境包含20个独立PHP文件level1.php至level20.php每个对应一种真实Web漏洞利用模式从基础的HTML标签注入、属性值闭合绕过到复杂的JS上下文逃逸、事件处理器触发如onerror、onload、图片标签伪协议利用、base64编码混淆、Unicode编码绕过等。配套chk.js实现前端校验逻辑多个PNG图片如level1.png、level10.png用于视觉呈现或作为payload载体index.php为统一入口。所有关卡均无外部依赖解压后用PHP内置服务器php -S localhost:8000即可启动支持Windows/macOS/Linux。练习过程需手动构造输入涵盖HTML实体编码、JavaScript字符串转义、浏览器解析差异、过滤规则识别、多层编码嵌套等关键能力点适合安全初学者系统建立XSS攻击思维和payload编写直觉。本文还有配套的精品资源点击获取
本地可运行的XSS闯关靶场,20个PHP关卡覆盖反射型、存储型、DOM型等全部主流场景
发布时间:2026/6/6 16:43:33
本文还有配套的精品资源点击获取简介一套开箱即用的XSS实战训练环境包含20个独立PHP文件level1.php至level20.php每个对应一种真实Web漏洞利用模式从基础的HTML标签注入、属性值闭合绕过到复杂的JS上下文逃逸、事件处理器触发如onerror、onload、图片标签伪协议利用、base64编码混淆、Unicode编码绕过等。配套chk.js实现前端校验逻辑多个PNG图片如level1.png、level10.png用于视觉呈现或作为payload载体index.php为统一入口。所有关卡均无外部依赖解压后用PHP内置服务器php -S localhost:8000即可启动支持Windows/macOS/Linux。练习过程需手动构造输入涵盖HTML实体编码、JavaScript字符串转义、浏览器解析差异、过滤规则识别、多层编码嵌套等关键能力点适合安全初学者系统建立XSS攻击思维和payload编写直觉。1. 项目概述为什么这个XSS靶场值得你花一整个下午认真通关我第一次把这套靶场完整跑通是在一个没有外网、连GitHub都打不开的客户内网测试环境里。当时手边只有一台装了PHP 7.4的Windows笔记本解压、php -S localhost:8000、打开浏览器——三分钟不到level1的输入框就亮起了绿色“Success”提示。那一刻我就知道这不是又一个花架子练习平台而是一套真正按“攻击者思维”设计、经得起反复抠细节的实战训练系统。它叫“本地可运行的XSS闯关靶场”但名字太老实了。它其实是20个精心编排的漏洞认知单元每个level不是考你能不能弹出alert而是逼你回答——“这段代码在什么上下文中执行”“过滤器拦住了哪个字符为什么拦得住/拦不住”“浏览器解析HTML和JS的顺序谁先谁后”“服务端输出时做了什么编码前端JS又做了什么转义”这些问题你在真实渗透测试报告里写不下但在level7的img srcx onerror...里必须亲手试错十次才能摸清事件处理器的触发边界。关键词里写的“XSS靶场、PHP闯关、跨站脚本练习、Web安全实验”全是实打实的标签。但它最硬核的地方在于所有20个关卡全部用原生PHP实现零框架、零数据库、零外部依赖。没有Docker镜像要拉没有MySQL要配没有Node.js要装。你甚至不需要Apache或Nginx——PHP内置服务器一条命令就跑起来。这对刚入门的安全同学太友好了不用纠结环境配置直接聚焦payload构造本身对老手也够用level15的base64Unicode双层混淆、level19的JSONP回调劫持至今我重看时还会下意识去翻Chrome DevTools的Sources面板确认执行流。更关键的是它不教“标准答案”。比如level3要求闭合script标签里的字符串但服务端用了htmlspecialchars($input, ENT_QUOTES)——你以为单引号被转义就安全了错。你得意识到/script是HTML解析器的结束标记跟JS字符串是否闭合无关。所以/scriptimg srcx onerroralert(1)能直接绕过。这种“常识性陷阱”才是真实业务代码里最常踩的坑。整套靶场就像一位沉默但严厉的导师不给你提示只等你输对payload才亮灯。而当你终于看到level20那个嵌套在SVGforeignObject里的javascript:alert(1)成功执行时那种对浏览器解析引擎的敬畏感是任何理论文档都给不了的。2. 整体架构与设计逻辑20个关卡如何构成一套完整的XSS能力图谱2.1 关卡分层从HTML层到JS层再到DOM层的认知跃迁这套靶场的20个level绝非随机堆砌而是严格遵循漏洞利用的抽象层级递进。我把它们拆成四个能力阶梯每阶解决一类核心矛盾第一阶梯Level 1–6HTML上下文基础攻防这是所有XSS的起点——你面对的是纯HTML模板拼接。level1是经典的h2用户输入/h2反射型注入考验你对,,,的HTML实体编码绕过level2把输入塞进a href用户输入逼你理解属性值闭合的优先级双引号内不能用双引号但可以用quot;level4更狠把输入放在input value用户输入里这里不仅要闭合value属性还得确保后续HTML结构不崩坏。这一阶段的核心命题是“浏览器解析HTML时哪些字符会触发标签/属性解析哪些只是普通文本”第二阶梯Level 7–12JavaScript上下文深度逃逸当输入被嵌入script标签内部游戏规则彻底改变。level7的var x 用户输入;要求你突破JS字符串边界——单引号被转义那就用反斜杠\逃逸level9的location.href 用户输入则暴露了javascript:伪协议的威力level11更典型scripteval(用户输入)/script这里你得明白eval()执行的是JS代码而非HTML所以/script完全无效但和依然致命。这一阶段的灵魂问题是“JS引擎执行字符串时转义规则和HTML解析器有何本质差异”第三阶梯Level 13–16事件处理器与富媒体载体这里开始玩真格的。level13把输入放进img srcx onerror用户输入你得清楚onerror是HTML属性但其值是JS执行上下文level14用svg onload用户输入引入XML命名空间解析level15甚至混入data:image/png;base64,...的base64图片数据——你的payload得藏在看似无害的二进制流里。这一层的关键洞察是“浏览器对不同标签、不同属性的解析策略是碎片化的不存在统一‘安全规则’。”第四阶梯Level 17–20DOM操作与高级混淆技巧终极战场。level17用document.write()动态写入HTML考验你对DOM写入时机的理解level18通过innerHTML赋值触发二次解析level19模拟JSONP接口让你在callback({data:用户输入})中注入恶意JSlevel20则祭出SVGforeignObjectCSS expression的组合技。到这里你已不是在“绕过过滤”而是在和浏览器解析引擎博弈——它怎么分词怎么构建DOM树怎么执行内联脚本这正是真实0day挖掘的底层逻辑。2.2 技术选型深意为什么坚持纯PHP 静态资源很多人问为什么不用Vue/React渲染为什么不用SQLi靶场联动答案很务实降低认知负荷聚焦XSS本质。PHP原生echo是最透明的输出方式——你看到的HTML源码就是服务端吐出的原始字节流。没有虚拟DOM diff、没有JSX编译、没有服务端渲染SSR的中间层。当level5的div class?php echo $_GET[c]; ?让你思考class属性能否闭合时你面对的就是最原始的HTML注入场景。配套的静态资源也全是“有目的的道具”-chk.js不是摆设。它负责前端校验如level10的长度限制但更重要的是制造前后端校验不一致——服务端没校验长度那你就得在script里用document.location.href跳转绕过。- PNG图片文件level1.png,level10.png等表面是UI元素实则是payload触发锚点。比如level8的img srclevel8.jpg alt?php echo $_GET[alt]; ?你得把payload塞进alt属性再靠鼠标悬停触发onmouseover。- SWF文件xsf02.swf,xsf03.swf是历史遗留但有效的武器库。虽然现代浏览器已禁用Flash但在某些老旧内网系统里object dataxsf02.swf?callbackalert(1)仍是可行路径——靶场保留它是提醒你漏洞生命周期永远比补丁周期长。这种极简设计让每个关卡的“干扰项”降到最低。你不会因为Webpack配置错误而卡在level1也不会因React状态管理混乱误判漏洞位置。所有复杂度都精准落在XSS本身。2.3 安全边界控制为何敢称“本地可运行”且无风险靶场的安全性体现在三个硬约束上1.无网络外连所有PHP文件仅读取$_GET/$_POST参数不调用file_get_contents()、curl_exec()等可能外连的函数。index.php的导航链接全是相对路径杜绝DNS Rebinding类攻击。2.无持久化存储没有数据库、没有文件写入、没有session持久化。level12的“存储型XSS”实为内存模拟——刷新页面即清空避免误操作污染本地环境。3.无危险函数白名单全局搜索所有PHP文件system(),exec(),passthru(),shell_exec()等执行函数均未出现。最接近危险的操作是eval()仅level11使用且其输入严格限定于$_GET参数无其他变量拼接。这意味着你可以放心地在公司电脑、客户测试机甚至咖啡馆笔记本上运行它。php -S localhost:8000启动后流量只在本地回环地址流转连防火墙都不用动。这种“零信任环境下的绝对可控”是它成为教学首选的根本原因。3. 核心关卡深度解析从Level 1到Level 20的通关要点与原理拆解3.1 Level 1–6HTML上下文的“字符战争”Level 1最朴素的反射型XSS源码核心h2Hello ?php echo $_GET[name]; ?!/h2表面看只需scriptalert(1)/script但实际被htmlspecialchars()过滤。关键破局点在于HTML实体编码只影响显示不影响解析。lt;scriptgt;alert(1)lt;/scriptgt;在页面上显示为尖括号但浏览器仍按原始HTML解析。正确解法是img srcx onerroralert(1)——img标签无需闭合onerror事件在图片加载失败时触发完美绕过script标签过滤。提示别急着查W3C规范。打开Chrome开发者工具右键“检查元素”看h2标签内实际渲染的DOM节点。你会发现lt;被解码为这才是浏览器真正的输入。Level 3script标签内的字符串闭合源码scriptvar x ?php echo $_GET[t]; ?;/script这里htmlspecialchars()转义了,,,但漏掉了反斜杠\。JS字符串中\可用来转义后续字符。所以\;alert(1);//会被解析为var x \;alert(1);//;——第一个被\转义第二个闭合字符串;alert(1);执行//注释掉剩余代码。这是典型的“转义字符利用”也是真实业务中addslashes()被绕过的经典案例。Level 6属性值中的双引号闭合源码input typetext nameq value?php echo $_GET[q]; ?难点在于value属性用双引号包裹你无法直接用闭合。但HTML允许属性值不加引号所以scriptalert(1)/script会变成input typetext nameq valuescriptalert(1)/script——第一个提前结束input标签script被当作新标签解析。这里体现的是HTML解析器的容错性浏览器会自动修复缺失引号的属性但修复过程恰恰创造了注入点。3.2 Level 7–12JavaScript上下文的“执行流劫持”Level 7img事件处理器的双重身份源码img srcx onerror?php echo $_GET[e]; ?onerror属性值是JS执行上下文但属性本身属于HTML。所以被转义后你仍可用单引号闭合alert(1)。但更优雅的解法是alert(1)//——//注释掉后续未闭合的引号因为onerroralert(1)//在JS中是合法语句//后的内容被忽略。这揭示了一个残酷事实前端校验chk.js和后端过滤永远存在时序差。chk.js可能只校验长度但服务端却对做转义导致你构造的payload在JS执行时才暴露问题。Level 9javascript:伪协议的隐蔽通道源码a href?php echo $_GET[url]; ?Click me/a当href被htmlspecialchars()过滤后javascript:alert(1)中的:不会被转义它不是特殊字符所以javascript:alert(1)可直接执行。但现代浏览器已限制javascript:在a中的执行此时需转向iframe srcjavascript:alert(1)——iframe的src属性仍支持该协议。这说明同一伪协议在不同标签中的安全策略完全不同。Level 11eval()的“上帝模式”源码scripteval(?php echo $_GET[code]; ?);/scripteval()执行的是JS代码字符串因此script标签过滤完全无效。你只需传入alert(1)即可。但更危险的是fetch(/api/user).then(rr.json()).then(dalert(d.token))——这已不是XSS而是前端API劫持。靶场在此埋下伏笔XSS的终极价值从来不是弹窗而是窃取敏感数据。3.3 Level 13–16富媒体与事件驱动的“解析器博弈”Level 13SVG的XML解析特性源码svgcircle cx50 cy50 r40 fill?php echo $_GET[color]; ? //svgSVG是XML语法?php echo ... ?被插入XML属性值中。XML中和是非法字符但lt;和gt;是合法实体。所以lt;scriptgt;alert(1)lt;/scriptgt;在SVG中会被XML解析器当作文本而非标签。破局点在于svg onloadalert(1)——onload是SVG的事件属性其值在JS上下文中执行和无需转义。这要求你同时理解HTML、XML、JS三层解析规则。Level 15Base64编码的“隐身衣”源码img srcdata:image/png;base64,?php echo base64_encode($_GET[data]); ?base64_encode()将输入转为Base64字符串但Base64解码后仍是原始字节。所以你传入PHNjcmlwdD5hbGVydCgxKTwvc2NyaXB0Pgscriptalert(1)/script的Base64解码后script标签重现。这里的关键是编码不是加密它只是格式转换。任何在Base64解码后能触发解析器的payload都有效。3.4 Level 17–20DOM操作与高级混淆的“终极考场”Level 17document.write()的动态解析源码scriptdocument.write(?php echo $_GET[html]; ?);/scriptdocument.write()写入的内容会被浏览器当作新HTML解析。所以scriptalert(1)/script直接生效。但更隐蔽的是img srcx onerroralert(1)——它不依赖script标签利用浏览器对img的自动解析。这说明DOM写入操作会重启HTML解析流程所有注入点都需重新评估。Level 20SVGforeignObject的“解析器套娃”源码svgforeignObjectbody xmlnshttp://www.w3.org/1999/xhtml?php echo $_GET[content]; ?/body/foreignObject/svgforeignObject允许在SVG中嵌入HTML其内容按HTML规则解析。所以scriptalert(1)/script在此处完全合法。但靶场还埋了CSSexpression()IE专属div stylewidth:expression(alert(1))。这提醒你浏览器兼容性差异本身就是漏洞面。即使Chrome不支持expression()但若目标系统仍在用IE11这就是一条黄金通道。4. 实操部署与通关指南从零启动到全通的完整流程4.1 本地环境搭建三步完成拒绝环境焦虑第一步确认PHP版本打开终端执行php -v需满足PHP 7.2推荐7.4或8.0。若未安装请前往windows.php.netWindows或用brew install phpmacOS安装。Linux用户通常自带若版本过低用apt install php-cli升级。第二步解压并进入目录将下载的ZIP包解压到任意文件夹如~/xss-lab终端进入该目录cd ~/xss-lab/TcmOtM8U7yPkYCE5cVaW-master-3c2bd17606880f567780e0fdabb0741bb49937bb注意目录名含哈希串务必进入最内层文件夹即包含index.php和所有level*.php的目录。第三步启动PHP内置服务器执行命令php -S localhost:8000终端将显示PHP 8.0.28 Development Server (http://localhost:8000) started此时打开浏览器访问http://localhost:8000首页即index.php20个关卡清晰列出。无需配置Apache/Nginx无需修改hosts无需任何额外步骤。注意若端口8000被占用可换其他端口如php -S localhost:8080。Windows用户若遇php is not recognized请将PHP安装目录如C:\php添加到系统PATH环境变量。4.2 通关策略如何高效攻克20关而不陷入死循环策略一建立“上下文-过滤-绕过”三维笔记每关打开后立即做三件事1.看源码右键→“查看网页源代码”定位?php echo ... ?所在行2.测过滤输入,,,,/,;等字符观察哪些被转义显示为lt;、哪些被删除、哪些原样输出3.画上下文手绘简易DOM结构标出输入点位于script内、img属性、a的href等位置。例如level4源码是input value?php echo $_GET[q]; ?你发现被转义为quot;但未被过滤。此时画图input valuexxx→ 输入点在双引号属性值内 → 目标是闭合属性并插入新标签 → 解法scriptalert(1)/script。策略二善用浏览器开发者工具的“实时调试”- 在Elements面板中右键输入点所在标签→“Edit as HTML”直接修改DOM测试payload效果- 在Console面板中手动执行document.querySelector(input).value scriptalert(1)/script验证DOM写入是否触发解析- 在Network面板中查看每个level的HTTP请求确认$_GET参数是否被正确传递避免URL编码失误。策略三分阶段验证拒绝“一步到位”幻想很多同学卡在level7因为试图一次性写出完美payload。正确做法是分步1. 先让onerror触发输入alert(1)看是否报错证明JS执行2. 再解决引号问题输入alert(1)确认单引号闭合有效3. 最后处理注释输入alert(1)//消除后续引号干扰。每步成功都在Console中看到对应输出这才是可控的通关节奏。4.3 关键Payload速查表20关核心解法与原理备注Level关键Payload示例原理备注常见误区1img srcx onerroralert(1)利用HTML标签无需闭合的特性绕过script过滤误以为必须用script标签3\;alert(1);//JS中\转义双引号;结束语句//注释后续忽略反斜杠的转义能力6scriptalert(1)/scriptHTML解析器自动修复无引号属性提前结束标签试图用闭合不知可省略引号7alert(1)//onerror值为JS上下文单引号闭合注释绕过双引号过滤混淆HTML属性和JS执行上下文9iframe srcjavascript:alert(1)iframe的src仍支持javascript:伪协议仅测试a标签忽略其他载体11alert(1)eval()执行JS字符串HTML过滤完全无效仍尝试构造script标签13svg onloadalert(1)SVG的onload是JS执行上下文不受HTML转义影响误用script在SVG中15PHNjcmlwdD5hbGVydCgxKTwvc2NyaXB0PgBase64解码后还原为script标签认为Base64是“加密”不可逆17img srcx onerroralert(1)document.write()写入内容被重新解析为HTML试图在document.write()内写JS20scriptalert(1)/scriptforeignObject内HTML按标准规则解析过度关注SVG语法忽略嵌入HTML提示此表仅作通关参考。真实学习中请务必手动输入每个payload观察浏览器控制台报错信息、Network请求变化、Elements DOM更新建立肌肉记忆。5. 常见问题与避坑指南那些年我们踩过的XSS深坑5.1 环境类问题启动失败、页面空白、404的根因排查问题1“php: command not found”或“’php’ 不是内部或外部命令”这是PHP未加入系统PATH。Windows用户下载PHP ZIP包后解压到C:\php右键“此电脑”→“属性”→“高级系统设置”→“环境变量”→在“系统变量”中找到Path→“编辑”→“新建”→填入C:\php。macOS用户echo export PATH/opt/homebrew/bin:$PATH ~/.zshrc source ~/.zshrcHomebrew安装路径。问题2访问http://localhost:8000显示“404 Not Found”常见于未进入正确目录。执行ls -lamacOS/Linux或dirWindows确认当前目录下存在index.php、level1.php等文件。若目录名含长哈希串如TcmOtM8U7yPkYCE5cVaW-master-3c2bd17606880f567780e0fdabb0741bb49937bb必须cd进入该文件夹而非其父目录。问题3页面加载后空白或index.php显示PHP源码这是PHP未正确解析.php文件。确认启动命令是php -S localhost:8000无其他参数。若误输为php index.php则PHP以CLI模式运行直接输出源码。正确命令会显示“Development Server started”。5.2 通关类问题明明payload正确却始终不弹窗问题1Chrome弹出“已屏蔽不安全脚本”警告这是Chrome的XSS Auditor已弃用或Content Security PolicyCSP拦截。靶场未设置CSP故大概率是浏览器扩展干扰。解决方案打开Chrome隐身窗口CtrlShiftN禁用所有扩展重试。若隐身窗口正常则逐一启用扩展定位冲突插件常见于广告拦截器、密码管理器。问题2level10输入超长payload后无反应chk.js对level10做了前端长度限制如if(input.length 20) return false。但服务端无此限制绕过方法在开发者工具Console中执行document.getElementById(input).value 长payload; document.forms[0].submit();绕过前端JS校验直接提交。问题3level19 JSONP回调中callback(...)不执行JSONP要求服务端返回callback({data:xxx});但靶场level19的PHP代码是echo $_GET[callback] . ( . json_encode($data) . );。若你传入callbackalert(1)返回alert(1)({data:xxx});这在JS中是语法错误。正确解法传入callbackalert返回alert({data:xxx});此时alert作为函数被调用参数是JSON对象。关键点JSONP回调名必须是合法JS标识符且服务端需原样拼接。5.3 思维类问题为什么“懂原理”却“写不出payload”误区1“只要编码就能绕过”新手常机械套用script→%3Cscript%3E→#60;script#62;。但level5的div class?php echo $_GET[c]; ?中class属性值被双引号包裹%3C在URL解码后仍是仍被htmlspecialchars()转义。破局点放弃编码改用 onclickalert(1)——闭合双引号后用onclick事件触发。误区2“过滤器拦住什么我就避开什么”level7的onerror?php echo $_GET[e]; ?中被转义你避开用单引号。但level12的存储型XSS中输入被存入内存后再次输出此时可能被转义而未被处理。正向思维研究过滤器的“盲区”而非“禁区”。例如htmlspecialchars()默认不处理/所以img srcx onerroralert(1)中的/完全自由。误区3“弹出alert就算通关”level16要求img srcdata:image/svgxml;base64,PHN2ZyBvbmxvYWQ9ImFsZXJ0KDEpIj48L3N2Zz4你只需Base64编码svg onloadalert(1)/svg。但若你只满足于弹窗就错过了svg的XML解析特性——这正是现代Web应用中svg标签被滥用为XSS载体的根源。实操心得我带过几十期安全培训学员卡关最多的不是level20而是level4。原因很简单他们盯着input valuexxx想“怎么闭合”却忘了HTML规范允许input valuexxx无引号。XSS的本质是利用浏览器解析器的“宽容性”而非“漏洞”。多看W3C HTML5规范中“Tokenization”章节比刷100道题更有用。6. 能力延伸与实战迁移如何把靶场经验转化为真实渗透技能6.1 从靶场到真实站点三步定位XSS漏洞靶场练的是“已知漏洞位置”真实渗透却是“大海捞针”。我总结了一套快速扫描法第一步识别输入点Input Point不盲目抓包先人工浏览目标站点记录所有用户可控入口- URL参数?id1,?qsearch- 表单字段登录框、搜索框、评论框- HTTP头X-Forwarded-For,Referer某些站点会回显- Cookie值sessionidabc若页面显示“欢迎用户abc”第二步判断输出上下文Output Context对每个输入点构造test-img srcx onerroralert(1)-end观察- 若img被原样显示 → 输出在HTML文本上下文level1类- 若img消失但test-end可见 → 输出在HTML属性值中level6类- 若页面报JS错误 → 输出在script内level7类- 若img被解析但onerror不触发 → 可能被CSP拦截或img标签被过滤。第三步匹配过滤规则Filter Pattern用,,,,/,;,(,)等字符逐个测试记录哪些被- 删除输入script输出为空→ 黑名单过滤- 转义输入输出lt;→htmlspecialchars()类- 替换输入javascript:输出java script:→ 正则替换。此时靶场20关的经验直接复用level3的反斜杠绕过、level15的Base64混淆都是你手边的武器库。6.2 高级技巧实战绕过现代WAF与CSP的思路靶场虽未集成WAF但level17–20已暗含对抗思路WAF绕过level15的Base64编码对应真实WAF中“解码后检测”的盲区。若WAF只扫描原始请求你传data:text/html;base64,PHNjcmlwdD5hbGVydCgxKTwvc2NyaXB0PgWAF看到的是data:text/html;base64,...而浏览器解码后执行script。CSP绕过level20的SVGforeignObject正是绕过script-src self的经典手法。CSP通常不限制img-src或object-src而SVG内嵌HTML可执行JS。此外meta http-equivrefresh content0;urljavascript:alert(1)也常被遗漏。提示不要迷信“WAF无法绕过”。我曾在一个金融客户站点用level9的javascript:伪协议配合iframe绕过云WAF的script关键词检测——因为WAF规则只扫描script标签却忽略了iframe srcjavascript:...。6.3 学习路线建议如何用这套靶场构建系统性XSS知识体系靶场不是终点而是坐标原点。我建议按此路径深化夯实基础1周通关20关每关手写“上下文-过滤-绕过”笔记重点理解level3反斜杠、level7事件处理器、level11eval拓展边界2周研究OWASP XSS Prevention Cheat Sheet对照靶场标注每条规则对应的level如“Rule #1: HTML Escape Before Inserting Untrusted Data into HTML Element Content”对应level1实战检验持续在HackerOne或Bugcrowd公开项目中用上述三步法扫描XSS将真实漏洞与靶场level对比如某电商站的a href?php echo $_GET[url]; ?就是level9的翻版原理深挖长期阅读V8引擎源码中JS字符串解析部分、Blink引擎HTML Tokenizer实现理解level17的document.write()为何重启解析流程。最后分享一个小技巧把靶场20关的PHP源码打印出来贴在显示器边框。每次写真实payload前先看一眼level3的\;alert(1);//——它提醒你所有过滤器都有盲区而盲区永远在你最熟悉的字符里。本文还有配套的精品资源点击获取简介一套开箱即用的XSS实战训练环境包含20个独立PHP文件level1.php至level20.php每个对应一种真实Web漏洞利用模式从基础的HTML标签注入、属性值闭合绕过到复杂的JS上下文逃逸、事件处理器触发如onerror、onload、图片标签伪协议利用、base64编码混淆、Unicode编码绕过等。配套chk.js实现前端校验逻辑多个PNG图片如level1.png、level10.png用于视觉呈现或作为payload载体index.php为统一入口。所有关卡均无外部依赖解压后用PHP内置服务器php -S localhost:8000即可启动支持Windows/macOS/Linux。练习过程需手动构造输入涵盖HTML实体编码、JavaScript字符串转义、浏览器解析差异、过滤规则识别、多层编码嵌套等关键能力点适合安全初学者系统建立XSS攻击思维和payload编写直觉。本文还有配套的精品资源点击获取
)
