通过Web方式访问的时候，Content-Type是文件类型最权威的描述。此时文件扩展名在大多数情况下都会被忽略。

每段JavaScript代码块都是按顺序 自成体系处理的。

alert`1`

为什么这个Payload中可以用反引号代替括号。

setTimeout()和setInterval()可以用来注册在指定的时间之后单次或重复调用的函数。

由于历史原因，第一个参数可以作为字符串传入，相当于执行eval()，因此可以作为XSS Payload使用。

勤奋、细心、信心、攻击面

2019年4月、5月、6月、7月 四个月要做的事情

刚刚在清除垃圾评论的时候一不小心把所有评论都删除了。。尴尬

还有，Paper中的一些图片放在了国外的服务器，被墙了，所以需要扶墙。。

添加用户时，会触发防火墙，启用guest用户并且追加到administrators组时，不会触发防火墙

2018/12/08，我问师傅某个XSS的BYPASS