在 HTML 中,
'
&apos
此 XSS 攻击需要一个撇号来匹配前面的撇号(在代码中插入 URL 的值)并结束该字符串文字。
比较:
const x = 'some default data'-alert(1)-'';
和
const x = 'some default data&apos-alert(1)-&apos';