如何避免xss，比如svg"><svg+onload%3D'document.cookie'>

0x01 常规插入及其绕过

1 Script 标签

绕过进行一次移除 *** 作：

<scr<script>ipt>alert("XSS")</scr<script>ipt>

Script 标签可以用于定义一个行内的脚毕燃本手基虚或者从其他地方加载锋携脚本：

<script>alert("XSS")</script>

svg是图像文件格式，英文全称为Scalable Vector Graphics，意思为可缩放的矢量图形。

SVG是一种用XML定义答斗的语言，用来描述二维矢量及矢量/栅格图形。SVG提供了3种类型的图形对象：矢量图形（vectorgraphicshape）、图象(image)、文本(text)。

SVG图形是毁掘可交互的和动态的，可以在SVG文件中嵌入动画元素或通过脚本来定义动画。

它提供了目前网络流行的PNG和JPEG格式无法具备的优势：可以任意放大图形显示，但绝不会以牺牲图像质量为代价；可在SVG图像中保留可编辑和可搜寻的状态；平均来讲，SVG文件比JPEG和PNG格式的文件要小很多，因而下载也很快。可以相信，SVG的开发将会为Web提供新的图像标准。

扩展资料：

与其他图像格式相比，使用 SVG 的优势在于：

1、SVG 可被非常多的工具读取和修改（比如记事本）。

2、SVG 与 JPEG 和 GIF 图像比起来，尺寸更小，且可压缩性更强。

3、SVG 是可伸缩的。

4、SVG 图像可在任何的分辨率下被高质量地打印。

5、SVG 可在图像质量不下降的情况下被放大。

6、SVG 图像中的文本是可选的，同时也是可搜索纤举核的（很适合制作地图）。

7、SVG 可以与 JavaScript 技术一起运行。

8、SVG 是开放的标准。

9、SVG 文件是纯粹的 XML。

---