额,这个标题起得不好

因为有的时候src标签会过滤掉http,就是xss里写src='http://'会被咔嚓
然后就是发现其实只要写src=//xxx.cn这样子就可以了

咦,我不记得直接写src=xxx.cn可以不

所以今天随手在浏览器地址栏里多敲了//
就是敲了个//www.qq.com
然后发现并不是像前面跳到http://www.qq.com
而是跳到了file:////www.qq.com

同样的/www.qq.com会跳到file:///www.qq.com
只有www.qq.com可以跳到http://www.qq.com

还有个问题就是如果是如果是https会怎样子的

先把问题记下来
先看完手头这本书后换掉,日后再补