XSS字符串测试器 - 无害演示反射型
输入常见XSS攻击向量,在沙盒iframe中测试是否被浏览器内置过滤器拦截。
UD5工具箱
反射型跨站脚本漏洞演示 · 教育用途 · 沙箱隔离运行
<替代<)
< 编码为 <,> 编码为 >," 编码为 "。编码后,浏览器会将这些实体作为普通文本显示,而不会将其解析为HTML标签或JavaScript代码。这是防御XSS最基础且最有效的方法之一。在本工具的"防御模式"中,你可以直观看到编码前后的区别。
Content-Security-Policy告诉浏览器哪些资源可以被加载和执行。例如:script-src 'self' 只允许同源脚本执行,阻止内联脚本和外部恶意脚本。即使攻击者成功注入了<script>标签,CSP也能阻止其执行。CSP还支持报告模式(report-uri),帮助开发者发现潜在的XSS攻击尝试。
javascript:协议;(4) HTML5向量——利用SVG、video、audio等新标签;(5) 绕过过滤的变体——大小写混淆、编码绕过、嵌套标签等。本工具预设了多种典型Payload供学习和测试。
sandbox="allow-scripts"属性。这意味着:(1) iframe中的脚本无法访问父页面的DOM;(2) 无法读取父页面的Cookie;(3) 无法导航父页面;(4) 弹窗(alert)仅在iframe内部触发,不影响您的浏览体验。整个测试场是纯前端运行,没有任何数据发送到服务器。
<编码为%3C,空格编码为%20或+。浏览器在发送请求时会自动解码,服务器接收到的仍是原始Payload。URL编码本身不是安全措施——它只是传输层的编码,服务器解码后若直接将值插入HTML,XSS仍会发生。本工具的"复制URL"按钮会自动进行URL编码。
<>'"&观察是否被过滤或编码;(3) 使用简单Payload如<script>alert(1)</script>测试;(4) 查看页面源码确认注入点上下文(HTML标签内、属性值内、JavaScript代码内等);(5) 根据上下文构造合适的Payload。注意:仅在自己拥有权限的系统上进行测试。
输入常见XSS攻击向量,在沙盒iframe中测试是否被浏览器内置过滤器拦截。
屏幕颜色变化时尽快点击,测量从刺激到反应的时间,统计平均反应速度。
在一个隔离环境中渲染单个组件,调整 props 查看变化,类似于 Storybook 的轻量替代。
输入用户查询,测试 Dialogflow 代理的意图匹配、参数提取和回复。
回答关于身心灵各层面的问题,评估七大脉轮能量是否平衡。
从几种颜色排列中选择最吸引你的,给出趣味性格解读。
短暂显示随机数字串,消失后凭记忆输入,逐步增加长度。
粘贴想练习的文本,计时打字,计算WPM与准确率。
等待背景从红变绿瞬间点击,记录毫秒级反应时间,可多次取平均。
显示一系列石原色觉测试图,框选所见数字,初步判断色觉异常。
播放不同频率与响度的纯音,用户响应后绘制基础听力图,提示听力状况。
粘贴结构化数据代码,模拟Google结构化数据测试,检查错误与丰富结果。
发出20Hz到20kHz的正弦扫频信号,帮助粗略检测耳机或音箱的频率表现。
显示交通标志图片,从多个选项中选择正确含义,帮助备考驾照理论。
向任意输入URL发送请求,清晰显示响应状态码、头信息和体,类似轻量级Postman。
通过移动圆点帮助找到眼球盲点位置,演示视神经盘效应。
全屏显示标准视力表(E字或C字),可自动随机生成方向,辅助粗略视力检查。
通过三角形手势对准屏幕物体,闭左右眼判断哪只眼是主视眼。
使用HRTF处理让声源像在头部周围旋转,检查立体声/环绕声设备空间感受。
系统依次显示一组数字,听后要求按顺序或逆序输入,长度逐渐增加,测试工作记忆容量。
屏幕快速闪出字母,要求看到特定字母时立即按键,评估持续注意力和冲动控制。
显示用颜色墨水书写的颜色名称,但字义与墨水色不一致,要求忽略字义报告墨水色,测试反应抑制。
展示一对旋转角度不同的三维块状图形,判断是否为同一形状的镜像或旋转。
先后播放两个不同频率的纯音,判断第二个音比第一个高还是低,测试音高敏感度。
生成通过Luhn算法校验但无实际金钱的卡片号码,附带有效日期供开发测试。
生成包含街道、城市、邮编的合理格式虚假国际地址,用于原型测试。
输入两人名字,通过伪随机算法计算一个缘分匹配度百分比,纯娱乐不严谨。
等待屏幕变色后尽快点击,记录反应毫秒数,测试多次取平均,提升注意力。
随机替换、交换或删除字母生成带有拼写错误的文本,用于测试校对或训练纠错能力。
测试navigator.clipboard读写功能,写入文本或读取系统剪贴板,验证安全限制。