WooYun.org

本人用的浏览器是较为安全的Chrome。
1. 在携程新建一篇游记。随便编写点内容。打开Dev Tools把HTML代码改了。

如上图红框里所示，改成最简单的onerror触发JS。
2. 打开Dev Tools的Network，发现携程自动保存时提交的代码onerror已经被过滤了。

3. OK，来直接发HTTP Request吧。
携程提交的HTML先经过了HTML编码，又经过了URL编码。根据这个规则，自己构造一个HTTP Request，把图1里的HTML代码发到服务器。这里注意的第一点，URL编码把Space编为“+”，携程编为“%20”，把“img+onerror”替换为“img%20onerror”。提交HTTP Request时关闭游记编辑窗口，游记会实时保存，有可能覆盖自己提交的结果。
为保险，发10遍！
4. 在“我的主页”打开游记，XSS代码被触发。