Il consiglio generale (per iniettare un gestore di eventi nel tag immagine) da @MarkBuffalo nel commento è corretto, ma onload
non è una grande scelta di gestore di eventi per le immagini. L'opzione migliore è solitamente onerror
, che è molto facile da innescare in modo affidabile; imposta la sorgente come qualcosa che sai non esisterà (o almeno non sarà un'immagine), come src="qq" onerror="alert('XSS!')"
.
L'eccezione specifica che mi piace sono i tag SVG, dove <svg onload="…" />
è una bella stringa breve (abbreviata di <script>…</script>
, e utilizzabile in luoghi che tentano trucchi stupidi come filtrare <script>
).