快说你是来旅游的😭

与 WriteUp 2024/7/19 – Ponder的博客 中举办喵相似，同样是需要进行 xss 注入，但这次无法直接在评论区注入，会被过滤。

尝试在用户名 / ip地址 / 评论区写 \123\，发现在 ip 地址区域成功显示加粗的 123，说明可以在这个地方进行 xss 注入。但是写入 11111111111111111，会发现只显示了前几位，说明这个地方对长度有限制，而 \ 这段长度显然超出了。此时可以利用反引号 “ 跨行字符串的特性，将注入代码分成一段段在 ip 地址位置写入，点击”举办“后成功弹出 xss 弹窗，并得到 flag.

<script>`
...
`;a=alert;`
...
`;a('xss');`
...
`</script>