文章总结： 该文档是一篇关于XSS常用FUZZ字典的分享文章，作者提供了自己整理的XSS字典，包含常见标签绕过、事件触发、编码绕过及WAF适配的payload，旨在帮助安全研究人员、渗透测试人员及新手快速进行XSS模糊测试，节省构建字典的时间。文档强调字典可直接导入BurpIntruder使用，并在多个靶场和真实场景中验证有效。 综合评分： 55 文章分类： WEB安全,安全工具,渗透测试

XSS常用FUZZ字典

原创

小白爱学习Sec 小白爱学习Sec

小白爱学习Sec

2026年2月27日 08:01 云南

免责声明

本文旨在提供有关特定漏洞工具或安全风险的详细信息，以帮助安全研究人员、系统管理员和开发人员更好地理解和修复潜在的安全威胁，协助提高网络安全意识并推动技术进步，而非出于任何恶意目的。利用本文提到的漏洞信息或进行相关测试可能会违反法律法规或服务协议。作者不对读者基于本文内容而产生的任何行为或后果承担责任。如有任何侵权问题，请联系作者删除。

简单介绍

1、自己常用的 XSS 字典，搭配 Burp 做 fuzz 实测管用 —— 不管是挖洞、做渗透测试，还是日常练手，都能省不少找 payload 的时间。

2、字典里整理了常见的标签绕过、事件触发、编码绕过类型，还有针对不同 WAF 的适配 payload，没有冗余内容，直接导入 Burp 的 Intruder 就能用。

3、实测在多个靶场和真实场景中，能命中不少常规过滤的 XSS 点，新手也能快速上手，不用自己从零攒字典。

资源下载

点击下方名片后台回复【XSS字典】获取资源信息

创作不易，点赞、分享、转发支持一下吧！！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：小白爱学习Sec 小白爱学习Sec 小白爱学习Sec《XSS常用FUZZ字典》