XSS Cheat Sheet
如果使用Chrome浏览器测试XSS向量,请关闭浏览器对XSS的拦截功能。首先,关闭所有Chrome浏览器进程,然后执行:
|
|
进入非Web安全模式。
1. 利用<>标记注入HTML/JavaScript
|
|
|
|
|
|
2. 利用HTML标签属性执行XSS
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
3. 利用空格、回车、Tab等分隔符
|
|
|
|
4. 对标签的属性值转码
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
5. 产生自己的事件
|
|
|
|
|
|
|
|
|
|
事件列表:
|
|
6. 利用CSS跨站解析
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
7. 扰乱过滤规则
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
8. 参考
- vector example 1
- vector example 2
- vector example 3