首先提一句,绕过filter的技巧前提是其没有过滤完全
比如:
这种就根本没法操作了
看完《白帽子讲web安全》xss一篇,简单总结一些常用的可能存在的技巧:
转换大小写
大小写混写
双引号改单引号
引号改为/
用全角字符
使用javascript伪协议
使用回车、空格等特殊字符
在css的style中使用/**/注释符
使用字符编码
利用事件触发xss
