摘要： 【HRS（CRLF Injection）】 CRLF是”回车 + 换行”（\r\n）的简称。在HTTP协议中，HTTP Header与HTTP Body是用两个CRLF分隔的，浏览器就是根据这两个CRLF来取出HTTP 内容并显示出来。 一旦我们能够控制HTTP 消息头中的字符，注入一些恶意的换行， 阅读全文

摘要： 【HTML 字符实体】 在 HTML 中，某些字符是预留的。 在 HTML 中不能使用小于号（<）和大于号（>），这是因为浏览器会误认为它们是标签。 如果希望正确地显示预留字符，我们必须在 HTML 源代码中使用字符实体（character entities）。 字符实体类似这样： 如需显示小于号， 阅读全文