1. javascript伪协议介绍
将javascript代码添加到客户端的方法是把它放置在伪协议说明符javascript:后的URL中。这个特殊的协议类型声明了URL的主体是任意的javascript代码,它由javascript的解释器运行。如果javascript:URL中的javascript代码含有多个语句,必须使用分号将这些语句分隔开。
javascript:var now = new Date(); “
The time is:
” + now;javascript URL还可以含有只执行动作,但不返回值的javascript语句。
javascript:alert(“hello world!”)
2. XSS漏洞发现
设置独一无二字符串提交,在响应中寻找。
3. a链接标签属性href介绍
标签定义超链接,用于从一个页面链接到另一个页面。
元素最重要的属性是 href 属性,它指定链接的目标。
在所有浏览器中,链接的默认外观如下:
未被访问的链接带有下划线而且是蓝色的
已被访问的链接带有下划线而且是紫色的
活动链接带有下划线而且是红色的
4. Payload触发XSS漏洞
Payload: javascript:alert(document.domain)