首先提一句,绕过filter的技巧前提是其没有过滤完全
比如:
<div>
<?php echo htmlspecialchars($_POST['xss']); ?>
</div>
这种就根本没法操作了
看完《白帽子讲web安全》xss一篇,简单总结一些常用的可能存在的技巧:
-
转换大小写
-
大小写混写
-
双引号改单引号
-
引号改为/
-
用全角字符
-
使用javascript伪协议
-
使用回车、空格等特殊字符
-
在css的style中使用/**/注释符
-
使用字符编码
-
利用事件触发xss