今天假日輕鬆科普下 XSS-Filter-Bypass-Cheat-Sheet
原文出處:https://github.com/masatokinugawa/filterbypass/wiki/Browser's-XSS-Filter-Bypass-Cheat-Sheet
學會後你就是XSS大師了!
波波觀點:XSS 防禦不能依賴瀏覽器 Filter
XSS filter bypass 類資料適合用來理解瀏覽器防護的限制,但真正的防禦應該回到應用程式本身。XSS 的根本問題是把不可信資料放進 HTML、屬性、JavaScript、URL 或 CSS 等不同上下文時,沒有做正確輸出編碼與權限控制。
防禦重點
- 依輸出上下文使用正確 escaping,不用同一套函式處理所有位置。
- 富文本或使用者產生內容應使用白名單清理,不信任前端過濾。
- 敏感操作搭配 CSRF token、SameSite Cookie 與權限檢查。
- CSP 可降低影響,但不能取代根因修補。
學習方式
閱讀 bypass cheat sheet 時,建議把技巧分類成編碼差異、解析差異、上下文切換與瀏覽器行為。這樣能幫助你在 code review 時更快辨識資料流,而不是只記住零散 payload。
若要把 XSS 文章整理成實務筆記,可以補上資料來源、輸出位置、可否執行腳本、是否能影響登入使用者,以及修補前後的測試方式。這比單純收藏繞過清單更有價值。










