4.2. XSS

内容索引:

• 4.2.1. 分类
  • 4.2.1.1. 反射型XSS
  • 4.2.1.2. 储存型XSS
  • 4.2.1.3. DOM XSS
  • 4.2.1.4. Blind XSS
• 4.2.2. 危害
• 4.2.3. 同源策略
  • 4.2.3.1. 简介
  • 4.2.3.2. 源的更改
  • 4.2.3.3. 跨源访问
  • 4.2.3.4. CORS
  • 4.2.3.5. 阻止跨源访问
• 4.2.4. CSP
  • 4.2.4.1. CSP是什么？
  • 4.2.4.2. 配置
  • 4.2.4.3. Bypass
• 4.2.5. XSS数据源
  • 4.2.5.1. URL
  • 4.2.5.2. Navigation
  • 4.2.5.3. Communication
  • 4.2.5.4. Storage
• 4.2.6. Sink
  • 4.2.6.1. 执行JavaScript
  • 4.2.6.2. 加载URL
  • 4.2.6.3. 执行HTML
• 4.2.7. XSS保护
  • 4.2.7.1. HTML过滤
  • 4.2.7.2. X-Frame
  • 4.2.7.3. XSS保护头
• 4.2.8. WAF Bypass
• 4.2.9. 技巧
  • 4.2.9.1. CSS 注入
  • 4.2.9.2. Bypass Via Script Gadgets
  • 4.2.9.3. jsfuck cheat sheet
  • 4.2.9.4. RPO(Relative Path Overwrite)
• 4.2.10. Payload
  • 4.2.10.1. 常用
  • 4.2.10.2. 大小写绕过
  • 4.2.10.3. 各种alert
  • 4.2.10.4. 伪协议
  • 4.2.10.5. Chrome XSS auditor bypass
  • 4.2.10.6. 长度限制
  • 4.2.10.7. jquery sourceMappingURL
  • 4.2.10.8. 图片名
  • 4.2.10.9. 过期的payload
  • 4.2.10.10. css
  • 4.2.10.11. markdown
  • 4.2.10.12. iframe
  • 4.2.10.13. form
  • 4.2.10.14. meta
• 4.2.11. 持久化
  • 4.2.11.1. 基于存储
  • 4.2.11.2. Service Worker
  • 4.2.11.3. AppCache
• 4.2.12. 参考链接
  • 4.2.12.1. wiki
  • 4.2.12.2. Challenges
  • 4.2.12.3. CSS
  • 4.2.12.4. 同源策略
  • 4.2.12.5. bypass
  • 4.2.12.6. 持久化
  • 4.2.12.7. Tricks