XSS攻击方法总结

原文链接： https://blog.csdn.net/qq_29277155/article/details/51320064

参考链接https://blog.csdn.net/qq_29277155/article/details/51320064

0x01.常规插入及其绕过

DOM型XSS，DOM全称为文档对象模型，与反射型存储型xss的不同之处在于其不会经过服务端的处理，而是经过JavaScript dom的渲染构造完dom树后，浏览器解析时才会被js的解析引擎解析执行。

1. 利用字符编码

见前一章第2讲,有unicode(html),ascii(js),hex(url)…

2 绕过长度限制

1.利用事件缩短长度：

 "οnclick=alert(1)//

2.最常用的一个“藏代码”的地方，就是“location.hash”。

3.两个文本框，第二个文本框允许写入更多的字节。此时可以利用HTML的”注释符号“

">

 
 
 
 
 

1、如果大小写不行的话，

3.action属性

4.“data”属性