xss绕过思路讲解和案例演示

一、xss绕过-过滤-转换

前面的XSS讲过，有限制字符这样的设置，是通过前端来设置的，我们通过抓包重放或者修改html前端代码就能绕过这个安全措施，前端虽然可以去做一些辅助的安全措施，但实际上它是没有太大作用的
大小写混合，一般的网页会通过匹配或者函数来给识别过滤出来，如果网页没有对大写进行限制或者大小写混合进行限制，那么就会通过大小写混合来绕过。

举个栗子：

这里通过onerror可以来执行alert(‘xss’),如果这个命令被和谐掉了，那么我们能进行编码尝试吗？
答案是不能的，因为这些属性标签并不会正常解析这些编码
应该对alert(‘xss’)进行html编码

二、xss绕过实验演示
我们回到pikachu的xss过滤

我们提交这个


我们发现前面那个