听许多人说WINRAR自解压格式的文件在安装界面上可以跨站，笔者亲自测试了一下，这个不能单单说是跨站了，本来还以为是个新出的漏洞呢，原来是WINRAR的本身缺陷，在其界面上可以支持任何HTML代码。详细的，我们看下文。

　　首先创建一个自解压格式的文件，来到下图的界面。

　　

　　

　　图1

　　然后切换到“高级”这个选项卡。我们看到个“自解压选项”。

　　

　　

　　图2

　　点击“自解压选项”来到如下图所示。

　　

　　

　　

　　图3

　　我们在“自解压文件窗口中显示的文本”下面输入最简单的跨站测试代码，点击确定创建文件就可以了。

　　然后我们打开刚才创建的文件，看到了如下的结果。

　　

　　

　　图4

　　弹出了跨站提示。

　　我们把跨站代码换成