1、在DOM Based XSS时,可以使用//来注释不需要的符号
2、通过\转义双引号,当返回页面为GBK/GB2312时,“%cl\”两个字符组合在一起,会成为一个Unicode字符。可利用此编码规则进行XSS攻击
3、有些产生XSS的地方有变量长度的限制,可以用以下方式绕过:
- 利用事件
- 把XSS Payload写到别处,再通过简短的代码加载这段payload(最常用的是将代码放在location.hash中)
- 若能控制两个文本框,且第二个文本框允许写入更多的字节,则可以利用注释符将两个文本框之间的HTML代码全部注释,打通两个Input标签
4、base标签
- 作用:定义页面上的所有使用“相对路径”标签的hosting地址
- base标签可以出现在页面的任何地方,并作用于位于该标签之后的所有标签
- 通过在页面中插入base标签,可以劫持当前页面中的所有“相对路径”的标签
5、window.name
通过window.name来传递XSS代码
6、