文章总结： 本文介绍一种利用CSS属性content-visibility的冷门事件oncontentvisibilityautostatechange绕过阿里云WAF的XSS攻击方法，提供具体payload代码，说明该方式无需用户交互即可触发执行，同时包含技术免责声明。 综合评分： 78 文章分类： WEB安全,漏洞分析,实战经验,安全工具,解决方案

xss利用冷门事件绕过阿里云waf

原创

十二 十二

起凡安全

2026年6月25日 17:58 北京

在小说阅读器读本章

去阅读

免责声明

本文中所涉及的技术、思路仅为学习交流，由于传播、利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，一旦造成后果请自行承担！

在其他地方看到的一条payload，可以用来绕过阿里云waf，正常测试被拦截

payload如下

<input&nbsp;style=content-visibility:auto&nbsp;oncontentvisibilityautostatechange="console.log('xss')">

无需用户交互即可触发

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：起凡安全 十二 十二《xss利用冷门事件绕过阿里云waf》