复现一次循环和两次循环

复现单个循环，过滤标签的属性。

下面代码是：首先截取#号后面的值，然后创建一个div，然后将#号后面的值都赋值给div，然后使用querySelectorAll选取div下所有的子元素；然后获取子元素的属性，并将属性全部删除，但是我们在运行的时候会发现一个问题。

<html lang="en">
    <head>
        <meta charset="UTF-8"/>
        <meta http-equiv="X-UA-Compatible" content="IE=edge"/>
        <meta name="viewport" content="width=device-width, initial-scale=1.0"/>
        <title>Document</title>
    </head>
    <body></body>
    <script>
// http://127.0.0.1/domfilter/demo6.html#<img src=1 οnerrοr=alert(1)>
    const data = decodeURIComponent(location.hash.substr(1));
    const root = document.createElement("div");
    root.innerHTML = data;
//这里模拟了xss过滤的过程，方法是移除所有属性
    for (let el of root.queryselectorA11("*")) {
        for (let attr of el.attributes){
            el.removeAttribute( attr.name);
        }
    }   
        document.body.appendChild(root);
    </script>
</html>

过滤方式：截取#后面的值，创建一个div，把#后面的值赋值给div，然后使用querySelectorAll抓div的子元素，获取它的属性，再把子元素的属性全部删除。

我们先输入<img src=1 οnerrοr=alert(1)>试一下，但是运行后得出的结果是它只删除了一个src，把onerror留了下来我们来使用断点调试来看一下执行

从获取到第一个src后，就获取不到onerror了，最后跳出了循环，没有删除onerror。

在进行循环的过程中，attr首先匹配到的是src元素，然后在循环过后直接删除，删除了之后，剩余的哪个onerror自动往前移动，onerror替代了src第一个的位置，它就变成了第一个，但是我在刚刚循环的时候，已经把第一个给循环了，我要去循环下一个的时候它没有了，所以我就结束循环了。所以我们可以利用这一机制，将img标签中放入其他的属性，删除其他的属性来让我们要输出有用的属性进行输出。下面来验证这一想法

可以看到我们的想法确实可以实现，但是src也被删除了，所以我们再添加一个属性，然后换个位置，输入<img x=1 src=1 title=aaa onerror=alert(1)>

可以看到输出了哦我们要输出的属性并且成功弹窗
其他答案：<svg/a/οnlοad=alert(1)>

两次循环，过滤标签里的属性

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <meta http-equiv="X-UA-Compatible" content="IE=edge">
    <meta name="viewport" content="width=device-width， initial-scale=1.0"><title>Document</title>
</head>
<body>

</body>
<script>
    const data = decodeURIComponent(location.hash.substr(1));;const root = document.createElement( 'div ' );
    root.innerHTML = data;
    //这里模拟了xss过滤的过程，方法是移除所有属性，sanitizer
    for (let el of root.querySelectorA11('*')) {
    let attrs = [];
    for (let attr of el.attributes){attrs.push(attr.name);
    }
    for (let name of attrs) {el.removeAttribute(name);}
    }
    document.body . appendchild(root);
</script>
</html>
    

在这里有两种思路，一种是不进循环，另一种是进入循环后不删除
我们先使用上面那种一次循环的方法看看有什么效果

可以看到输入的<img src=1 οnerrοr=alert(1)>里面的元素都没了，只剩了一个img标签。

不进循环的方法

这里使用的是两个svg标签，也就是使用\<svg>\<svg onload=alert(1)>来尽行绕过，它可以在过滤代码之前进行绕过，也就是说，它在代码的root.innerHTML = data;就已经执行了。

要解释这个的话首先要了解以下浏览器的渲染过程。
也就是在DOM树构建完成之后，会触发DOMContentLoaded事件，接着就会加载脚本或者图片，然后执行全部加载完成后会触发load事件。
使用img标签失败的原因是：当我们使用断点测试的时候，首先先将过滤给注释掉，然后我们将断点放在root.innerHTML = data;上

当我们测试的时候发现，src标签一直没有执行，走到最后img才会执行
JS会把dom树阻塞，如果一个img或者1个svg都会在js执行后才会执行且属性以及被删除了；而2个svg里的最内侧svg是在html赋值的瞬间就把onload事件加载了所以就没有进入到js的删除事件里
img和其他payload的失败原因在于sanitizer执行的时间早于事件代码的执行时间，sanitizer将恶意代码清除了。由于js阻塞dom树，一直到js语句执行结束后，才可以引入img，此时img的属性已经被sanitizer清除了，自然也不可能执行事件代码了。最内层的svg先触发，然后再到下一层，而且是在DOM树构建完成以前就触发了相关事件；最外层的svg则得等到DOM树构建完成才能触发。
套嵌的svg之所以成功，是因为当页面为root.innerHtml赋值的时候浏览器进入DOM树构建过程；在这个过程中会触发非最外层svg标签的load事件，最终成功执行代码。

进入循环后不删除有用的数据

如果有一个元素可以拦截el.attributes，有可能删除的不是el而是里面的子元素，比如说在div标签里有form和img两个元素，将img的值删掉让form弹窗；要想进循环只有一个元素肯定不行，所以要想办法变成一个数组来进入循环，所以可以写进2个img

以看到确实进入了循环，但是form没有触发，这里就需要用onfocus，而onfocus是input的属性，form没有,但是也要把焦点对到input里面，所以要用到tabindex（tabindex 全局属性 指示其元素是否可以聚焦，以及它是否/在何处参与顺序键盘导航）<form tabindex=1 onfocus="alert(1)" autofocus="ture"><input 20name=attributes><input name=attributes></form> tabindex=1聚焦在input的子元素上；autofocus="ture“自动聚焦加上tabindex属性的话就可以把焦点聚集在input上，否则onfoucus是没有办法实现的。
所以这样的话:我们就可以进行尝试：

<form tabindex=1 onfoucus=“alert(1)” autofocus=“true”><input name=attributes><input name=attributes></from>

这种是成功跳出弹窗的，但是因为这个是自动将你的鼠标自动对焦，所以会一直进行弹窗，所以我们可以在它执行成功一次之后将他移除。

<form%20tabindex=1%20οnfοcus="alert(1);this.removeAttribute(‘onfocus’);"autofocus=“true”><input%20name=attributes><input%20name=attributes></form>