javascript: URL 协议
检查 href、action 等 URL 属性中是否残留 javascript:,并在点击或 submit 时执行。
HTML payload 测试
该场景测试用户输入在 HTML/DOM 中的渲染方式,而非 iframe sandbox 行为。
- 确认 href/action/src 等 URL 属性中的 javascript: 是否被移除
- 先归一化大小写、空白和 entity encoding 后再校验
- 确认需要用户点击的延迟 payload 也会被阻止
Payload
要复制的 payload
用户点击后执行的 URL 协议型 XSS。
预览
此预览为了学习目的故意执行 unsafe rendering。真实服务中,该 payload 应被转义为文本或移除。
日志
// 无日志
说明
javascript:URL 会在点击或 submit 等用户操作后执行,仅靠渲染检查很容易漏掉。- 需要在
href、src、action、formaction等所有 URL 属性上校验协议。 - 比较前先做 entity decoding、trim 和大小写归一化。