WooYun.org

当我在公屏输入大站http://www.baidu.com.多玩不进行拦截，直接跳转到百度，那么比如小站，多玩为防止恶意网站，有一个URL拦截，那么是不是不能突破呢，如何达到公屏发站，用户点击，即绕过拦截，直接跳转，或者打到种马目的？其实是可以的。我们公屏假设输入http://www.kndie.com，点击后，URL拦截

我们查看源代码

看到否，我们想想，我们是否可以通过类似XSS实现，因为此处不存在过滤。
我们在公屏输入，构造。

结果后面构造的就没了，那么我们使用URL加密一下。我们构造的代码。
http://www.kndie.com/%3C%2F%61%3E%3C%73%63%72%69%70%74%3E%61%6C%65%72%74%28%27%58%53%53%27%29%3C%2F%73%63%72%69%70%74%3E%3C%2F%61%3E，然后发送出去，再次点击。

那么这样子的话你想弹什么就弹什么，什么拦截都是浮云，弹到点击者天荒地老海枯石烂。