XSS绕过有很多方法,原理都是找到XSS检验的漏洞来绕过,常见的方法有: 转换:①,前端限制绕过(限制输入长度) ②,大小写绕过 ③,拼凑绕过(<sc<script>ript>alert(xss</sc<script>ript>) ④,使用注释干扰(<scri<!--11-->pt>alert(xss)</scri<!--11-->pt>) 编码:将限制的字符和符号进行编码来绕过XSS检测(要注意编 码过后输出否会被正常翻译) 首先打开我们搭建好的pika pika,进入本节 我们还是随便输入看结果(1111111) 传参出现在了前端并且是GET传参,我们弹个窗试试(<script>alert("xss")</script>) 这里可以看到,返回的并不是我们的传参值,并且没有弹窗,我们查看一下源码 可以看到大部分代码并没有输出,大概率是被拦截了,我们尝试一下绕过。 1:大小写绕过(<ScrIPt>alert("xss")</ScriPt>) 大小写成功绕过再试试别的 2:拼凑绕过:sc<script>ript>alert(xss)</sc<script>ript> 3:注释绕过:<scri<!--11-->pt>alert(xss)</scri<!--11-->pt> 这两种都不行,我们再试试编码 编码好像也不行,总之,绕XSS就是要多试试!!!