如何xss攻击输入经过html编码的网站

<div id="main"><h1>HTML Injection - Reflected (POST)</h1><p>Enter your first and last name:</p><form action="/bWAPP/htmli_post.php" method="POST"><p><label for="firstname">First name:</label><br /><input type="text" id="firstname" name="firstname"></p><p><label for="lastname">Last name:</label><br /><input type="text" id="lastname" name="lastname"></p><button type="submit" name="form" value="submit">Go</button></form><br />Welcome 1234<script>alert(123)</script>123456</div>

防御xss攻击需要重点掌握以下原则：

在将不可信数据插入到HTML标签之间时，对这些数据进行HTML Entity编码。

在将不可信数据插入到HTML属性里时，对这些数据进行HTML属性编码。

在将不可信数据插入到SCRIPT里时，对这些数据进行SCRIPT编码。

在将不可信数据插入到Style属性里时，对这些数据进行CSS编码。

在将不可信数据插入到HTML URL里时，对这些数据进行URL编码。

使用富文本时，使用XSS规则引擎进行编码过滤

XSS攻击，即跨站脚本攻击(Cross Site Scripting)，为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆，XSS是一种经常出现在web应用中的计算机安全。

---