0X01 javascript伪协议介绍
将javascript代码添加到客户端的方法是把它放置在伪协议说明符javascript:后的URL中。这个特殊的协议类型声明了URL的主体是任意的javascript代码,它由javascript的解释器运行。如果javascript:URL中的javascript代码含有多个语句,必须使用分号将这些语句分隔开。
javascript:var now = new Date(); "<h1>The time is:</h1>" + now;
javascript URL还可以含有只执行动作,但不返回值的javascript语句。
javascript:alert("hello world!")
0X02 XSS漏洞发现
设置特殊字符串提交,在响应中寻找。
0X03 a链接标签属性href介绍
< a > 标签定义超链接,用于从一个页面链接到另一个页面。
< a > 元素最重要的属性是 href 属性,它指定链接的目标。
在所有浏览器中,链接的默认外观如下:
未被访问的链接带有下划线而且是蓝色的
已被访问的链接带有下划线而且是紫色的
活动链接带有下划线而且是红色的
0X04 Payload触发XSS漏洞
Payload:
javascript:alert(document.domain)
----E-----N-----D-----
😄如有问题,请各位师傅斧正,你的支持是我最大的动力。