1.xss的过滤方式

image

2.xss的各类事件的用法

image

image

image

iframe事件

image

将javascript的字符a转换为html的转义（10进制形式）

image

将javascript全部转换为html的转义（10进制形式）

image

data:text/html事件的使用（base64编码）

  ![image](http://upload-images.jianshu.io/upload_images/15439302-bdcf80254a193c2b.jpg?imageMogr2/auto-orient/strip%7CimageView2/2/w/1240)

![image](http://upload-images.jianshu.io/upload_images/15439302-6137f160bf2f7de9.jpg?imageMogr2/auto-orient/strip%7CimageView2/2/w/1240)

image

data:text/html事件能够弹出xss的方法

image

用src链接弹窗的方式

image

image

html5中的实体编码

    &NewLine和&colon是html5新的实体编码，表示换行和冒号。

image

3.xss的变形方法

image

   ![image](http://upload-images.jianshu.io/upload_images/15439302-b570520edcf024d8.jpg?imageMogr2/auto-orient/strip%7CimageView2/2/w/1240)

image

autofocus弹窗

image

onfocus弹窗

image

圆括号过滤

image

image

image

img标签逃逸绕过

image

image

style标签的使用

image

comment标签的使用

image

4.xss编码的转换绕过

image

image

用字符转换10进制ascii的方式

image

    用url编码转换&#，以便url上使用

image

image

String.fromCharCode的使用

image

字符转16进制

image

5.xss的修复和防御

image

image

6.xss的搭建平台

image