javascript: URL protocolEMBEDDED

Check whether javascript: remains in URL attributes such as href or action and executes on user interaction.

HTML payload 测试

该场景测试用户输入在 HTML/DOM 中的渲染方式，而非 iframe sandbox 行为。

href/action/src 같은 URL 속성에서 javascript: 가 제거되는지 확인
대소문자, 공백, entity encoding 을 정규화한 뒤 검증하는지 확인
사용자 클릭이 필요한 지연 실행 payload 도 차단되는지 확인

페이로드

복사할 payload

사용자 클릭 후 실행되는 URL 프로토콜 기반 XSS.

미리보기

미리보기는 학습용으로 의도적으로 unsafe 렌더링을 수행합니다. 실제 서비스에서는 이 payload 가 텍스트로 이스케이프되거나 제거되어야 합니다.

로그

// 로그 없음

해설

javascript: URL 은 클릭이나 submit 같은 사용자 액션 뒤에 실행되므로 단순 렌더링 확인만으로 놓치기 쉽습니다.
href, src, action, formaction 등 URL 을 받는 모든 속성에서 프로토콜 검증이 필요합니다.
검증 전에는 entity decoding, trim, 대소문자 정규화를 먼저 적용하세요.