Event-handler attribute injectionEMBEDDED

Check whether on* attributes such as img onerror or details ontoggle survive filtering and execute.

HTML payload 测试

该场景测试用户输入在 HTML/DOM 中的渲染方式，而非 iframe sandbox 行为。

페이로드

복사할 payload

이미지 로드 실패 이벤트를 이용하는 대표적인 HTML attribute XSS.

미리보기는 학습용으로 의도적으로 unsafe 렌더링을 수행합니다. 실제 서비스에서는 이 payload 가 텍스트로 이스케이프되거나 제거되어야 합니다.

// 로그 없음

<script> 태그를 제거해도 onerror, onclick, onload 같은 이벤트 속성이 남으면 스크립트 실행이 가능합니다.
태그 allowlist 와 별도로 속성 allowlist 를 관리해야 하며, on* 속성은 기본적으로 제거하는 편이 안전합니다.
CSP 에서 inline event handler 를 막는지도 함께 확인하세요.