onclik属性
很多标签都存在onclick属性,利用很广泛
onclick 属性是 HTML 中用于指定当用户点击某个元素时执行 JavaScript 代码或函数的一个事件属性。
这个属性可以用于几乎所有的 HTML 元素,但最常用于按钮、链接和表单元素。
1 | <input type="" value="" onclick="alert('我的博客不是猫')"> |
这个属性很有趣,当将网页的标签添加onclick=“alert(‘文本’)”属性时,点击该标签会跳出警告框。
这个可用来打某些xss的靶场(自欺欺人的打法)
编码绕过
html编码
经过html编码的标签和属性可以在html文件中正常执行
在xss靶场中一些字符被过滤时可以将被过滤字符进行html编码从而绕过。
利用标签攻击
script标签
在html文本中script标签用于写javascript代码
1 | <script>alert(123)</script> |
a标签
利用a标签中的herf属性执行javascript代码
1 | <a href="javascript:alert(1)"> |
img标签
利用img标签的onerror 属性可以用来在图片加载失败时执行 JavaScript 代码。
1 | <img src="错误文件路劲" onload="alert("我的博客不是猫")"> |
评论区
欢迎你留下宝贵的意见