XSS小技巧

1、在DOM Based XSS时，可以使用//来注释不需要的符号

2、通过\转义双引号，当返回页面为GBK/GB2312时，“%cl\”两个字符组合在一起，会成为一个Unicode字符。可利用此编码规则进行XSS攻击

3、有些产生XSS的地方有变量长度的限制，可以用以下方式绕过：

• 利用事件
• 把XSS Payload写到别处，再通过简短的代码加载这段payload（最常用的是将代码放在location.hash中）
• 若能控制两个文本框，且第二个文本框允许写入更多的字节，则可以利用注释符将两个文本框之间的HTML代码全部注释，打通两个Input标签

4、base标签

• 作用：定义页面上的所有使用“相对路径”标签的hosting地址
• base标签可以出现在页面的任何地方，并作用于位于该标签之后的所有标签
• 通过在页面中插入base标签，可以劫持当前页面中的所有“相对路径”的标签

5、window.name 

通过window.name来传递XSS代码

6、