HTML: Nest‘in string

Question

是否可以在输入中嵌套一个“字符”。就像这样：

<input type="hidden" name="breakme" value="" onfocus='alert(\'1\');' autofocus="true" />

我知道你可以这样做

<input type="hidden" name="breakme" value="" onfocus="alert('1');" autofocus="true" />

但我特别需要用嵌套的‘

为了说明这一点，编辑了，我是专门尝试演示XXS攻击的，所以不能有其他脚本，而且必须在这个输入中完成。我正在注入另一种输入

<input type="text" name="breakme" value="<?php echo @$_POST['breakme'] ?>">

所以它不能是“而且必须使用”。因为我想注入什么(像'google.com?' + 'hi'这样的调用，我需要能够嵌套。

Answer 1

on*属性是完全正常的HTML，因此可以使用字符引用(如'或' )对撇号进行编码：

<input type="hidden" name="login" value="" onfocus='alert(&#39;1&#39;);' autofocus="true" />

'也是由HTML5定义的，但请注意，它在IE8中不起作用。

Answer 2

不：

<input type="hidden" name="login" value="" onfocus="alert('1\u0027');" autofocus="true" />

只是起作用了？