最近我一直在研究XSS漏洞,我也做了很多关于XSS的黑客挑战。但是,有一个挑战需要规避过滤器。(root-me.org 倒数第二个Web客户端挑战(XSS过滤器规避)如果你有兴趣)过滤器不是最好的,尽管尚未达到自动执行。为了取得成功,需要深入了解 HTML 和相应的 HTML 事件处理程序。某些元素不会被过滤,使用正确的属性和事件处理程序,这些元素可能会允许 XSS。
这里基本上是所有HTML元素及其一些相应属性的列表。但是,我正在寻找的是一个完整的列表或数据库,其中包含所有HTML元素及其所有可能的属性以及所有可能的事件处理程序。
所以这是我的问题:
这样的列表/数据库是否已经存在?
HTML元素和属性可以依赖于浏览器和版本。其中大多数列在:
HTML 5 规范索引
或
HTML 4.01 规范索引
还有一些较旧的:
WHATWG 过时的功能