<img class="avatar" src="MY INPUT SPACE">
Sto tentando di ignorare un filtro XSS ma non funziona, dato che < , > sono filtrati. Mi sento come se potessi romperlo dato che solo questi due personaggi sono filtrati ma non sono riuscito a trovare un modo per farlo, qualche suggerimento su questo?
Il consiglio generale (per iniettare un gestore di eventi nel tag immagine) da @MarkBuffalo nel commento è corretto, ma onload non è una grande scelta di gestore di eventi per le immagini. L'opzione migliore è solitamente onerror , che è molto facile da innescare in modo affidabile; imposta la sorgente come qualcosa che sai non esisterà (o almeno non sarà un'immagine), come src="qq" onerror="alert('XSS!')" .
L'eccezione specifica che mi piace sono i tag SVG, dove <svg onload="…" /> è una bella stringa breve (abbreviata di <script>…</script> , e utilizzabile in luoghi che tentano trucchi stupidi come filtrare <script> ).
Leggi altre domande sui tag html xss reflected-xss