简介:
   这个vector利用了浏览器解析HTML注释存在的问题来执行javascript。该vector可以绕过一些Webmail的XSS过滤器,之前国内一些邮箱可用这个vector绕过。目前经验证对QQ和网易邮箱已经不起作用。网易邮箱的webmail已经不支持<!---->此类型的HTML注释。在<STYLE>中还支持该注释,经过变形可能挖掘出网易邮箱的Webmail XSS。

XSS***向量(Vector):
<!--<img src="--><img src=x οnerrοr=alert(1)//">

支持的浏览器:
   internet explorer 5.0
   internet explorer 6.0
   internet explorer 7.0
   internet explorer 8.0
   internet explorer 9.0
   opera 8.x
   opera 9.x
   opera 10.x
   opera mobile
   firefox 1.x
   firefox 2.x
   firefox 3.x
   chrome 3.0
   chrome 4.0
   chrome 5.0
   chrome 6.0
   safari 3.0
   safari 4.0

参考:
http://heideri.ch/jso/#31