您使用: %2522 onmouseover=警报(1)
代替: %2522 onmouseover=%2522alert(1)
如果您在传递 HTML 时看到“获取转换为”,则通常意味着应用程序正在正确执行输出转义。一般来说,这意味着网络应用程序构建良好。