开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

什么html标签支持onload/onerror javascript事件属性？

在HTML中，支持onload和onerrorJavaScript事件属性的标签主要有以下几个：

<body>标签：onload事件在页面加载完成时触发，onerror事件在页面中发生JavaScript错误时触发。
<img>标签：onload事件在图像加载完成时触发，onerror事件在图像加载失败时触发。
<link>标签：onload事件在CSS文件加载完成时触发，onerror事件在CSS文件加载失败时触发。

4.<script>标签：onload事件在脚本加载并执行完成时触发，onerror`事件在脚本加载或执行失败时触发。

例如，你可以在<body>标签中使用onload和onerror事件：

<body onload="myFunction()" onerror="errorFunction()">

在这个例子中，当页面加载完成时，myFunction()函数将被调用；当页面中发生JavaScript错误时，errorFunction()函数将被调用。

需要注意的是，onload和onerror事件属性并非所有HTML标签都支持，但以上列举的标签是主要的几个支持这两个事件属性的标签。

相关搜索:使用img标签，onError触发的事件类型是什么？HTML5 JavaScript动画不会播放，除非onload="init()在body标签内。为什么？在HTML中支持内联JavaScript事件子标记吗？NSAttributedString中支持的HTML标签列表是什么？JavaScript :分配给onload事件的函数到底什么时候执行？是否可以通过JavaScript访问HTML标签的onSubmit属性？为什么'google.script.run‘不能在html body的'onload’标签中工作？rails不支持input标签上的html list属性吗？为什么指令属性在img html标签上无效？如何从javascript/angular触发html5视频标签下载事件 html属性onblur和javascript触发器模糊事件如何工作？为什么'ng‘属性在HTML标签中不起作用？“什么是<a>字符集属性?为什么HTML5不支持它？”html标签上的"invert“属性是用来做什么的？事件处理程序标签中"javascript:"的目的是什么(如果有的话)？我可以通过html的脚本标签属性将数组对象传递给javascript吗？如何在Javascript事件中选择XML标签或类并更新其CSS样式属性和classList？为什么会发生JavaScript运行时错误:对象不支持属性或方法“datepicker”？(datepicker不是函数)为什么会发生JavaScript运行时错误: Object不支持属性或方法'getTime‘？(getTime不是函数)Html5多选控制能在ipad上工作吗？？如果可能，有什么特殊的属性需要添加到select标签中吗？

相关搜索:

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

【WAF剖析】10种XSS某狗waf绕过姿势，以及思路分析

https://mp.weixin.qq.com/s/P2AX2ebnzaCw-NoNwLwIRA

01

Web安全学习笔记(五)：HTML基础

今天决定要将《sql注入攻击与防御》这本书吃完。今天开了个头，看了一些，然后还是继续看大佬们写的挖洞经验。有看不懂的地方，简单搜索下概念，先了解着，随着知识的积累，到了一定时间段，都会吃透的。这就是我的学习方法，其实不好，但是奈何脑子转的慢，也是没办法。心有不甘，但是我还是相信我会变得很厉害，也想配的上大佬的称号，哈哈哈。

03

一次对 Tui Editor XSS 的挖掘与分析

TOAST Tui Editor是一款富文本Markdown编辑器，用于给HTML表单提供Markdown和富文本编写支持。最近我们在工作中需要使用到它，相比于其他一些Markdown编辑器，它更新迭代较快，功能也比较强大。另外，它不但提供编辑器功能，也提供了渲染功能（Viewer），也就是说编辑和显示都可以使用Tui Editor搞定。

04

白帽赏金平台XSS漏洞模糊测试有效载荷最佳集合 2020版

该备忘清单可用于漏洞猎人，安全分析，渗透测试人员，根据应用的实际情况,测试不同的payload，并观察响应内容，查找web应用的跨站点脚本漏洞，共计100+条xss漏洞测试小技巧。

04

mXSS简述

本文介绍了mXSS漏洞的基本概念、危害以及三个典型的mXSS漏洞案例。作者通过分析这些案例，强调了XSS漏洞的危害性以及mXSS漏洞的复杂性和隐蔽性。同时，对于开发人员来说，了解mXSS漏洞的原因和危害，有助于在开发过程中避免类似的漏洞产生，提高网络的安全性。

05

mXSS简述

不论是服务器端或客户端的XSS过滤器，都认定过滤后的HTML源代码应该与浏览器所渲染后的HTML代码保持一致，至少不会出现很大的出入。然而，如果用户所提供的富文本内容通过javascript代码进属性后，一些意外的变化会使得这个认定不再成立：一串看似没有任何危害的HTML代码，将逃过XSS过滤器的检测，最终进入某个DOM节点中，浏览器的渲染引擎会将本来没有任何危害的HTML代码渲染成具有潜在危险的XSS攻击代码。随后，该段攻击代码，可能会被JS代码中的其它一些流程输出到DOM中或是其它方式被再次渲染，从而导致XSS的执行。这种由于HTML内容进后发生意外变化（mutation，突变，来自遗传学的一个单词，大家都知道的基因突变，gene mutation），而最终导致XSS的攻击流程，被称为突变XSS（mXSS, Mutation-based Cross-Site-Scripting）。

02

ctf入门如何学习

03

DVWA之XSS(跨站脚本漏洞)

本篇文章为DVWA平台XSS（跨站脚本漏洞）类型题目，本篇文章目的为记录自己的作题过程并且希望能够帮到大家，如有错误还请各位师傅指正！本篇文章会同步至本人博客https://tenghy.gitee.io/teng/

03

可以被XSS利用的HTML标签和一些手段技巧

XSS让我们在渗透中有无限的可能，只要你发挥你的想象。引用一位前辈总结的很贴切的一句话——“XSS使整个WEB体系变得具有灵性” 。网上关于XSS的教程数不胜数，转载来转载去的，就是那么些Payload，可能看的人晕晕的不知所以然。而且还有很多Payload就算把其中的HTML代码闭合后写在自己的前端中，都不一定触发，因为很多老的标签和事件都已经被W3C给废弃了。本文首先给大家总结一下目前通用可以拿来构造XSS的HTML标签和一些标签事件，然后再给大家讲述一些绕过的技巧，教你在么构造出属于你自己渗透时

09

源码解析-url状态检测神器ping-url

前言 ping-url是我最近开源的一个小工具，这篇文章也是专门写它设计理念的科普文。为什么会做这个ping-url开源工具呢？起因是：本小哥在某天接到一个特殊的需求，要用前端的方式判断任意一个u

04

JS魔法堂：LINK元素深入详解

一、前言　　　　　　　　　　　　　　　　　　　　　　　　　　　　我们一般使用方式为 <link type="text/css" rel="stylesheet" href="text.css"> 来引入外部层叠式样式文件，但LINK元素各属性的具体含义、资源加载行为等方面却了解不多，本文打算稍微深入一下。由于内容较多，特设目录一坨：二、到底有没有结束标签？三、普通属性介绍四、属性disabled详解 1. Attribute和Property的disabled 2. dis

干货 | 学习XSS从入门到熟悉

XSS，全称Cross Site Scripting，即跨站脚本攻击，是最普遍的Web应用安全漏洞。这类漏洞能够使得攻击者嵌入恶意脚本代码到正常用户会访问到的页面中，当正常用户访问该页面时，则可导致嵌入的恶意脚本代码的执行，从而达到恶意攻击用户的目的。需要强调的是，XSS不仅仅限于JavaScript，还包括flash等其它脚本语言。根据攻击代码的工作方式，XSS可以分为反射型的XSS、存储型的XSS和DOM型的XSS。

03

一次"艰难"的XSS Bypass之旅

这绝对是我玩过的最乏味的一次XSS。我使用Burp进行枚举，用高级选项来控制测试范围。

02

Js框架设计之DomReady

一、在介绍DomReady之前,先了解下相关的知识 1、HTML是一种标记语言,告诉我们这页面里面有什么内容,但是行为交互则要通过DOM操作来实现,但是注意:不要把尖括号里面的内容看作是DOM! 2、HTML是要通过浏览器解析之后才会转换成为DOM节点一般地,但我们向浏览器中输入一个地址,开始加载页面到我们看到页面的内容为止,这期间就有一个DOM节点构建的过程(浏览器将HTML标签转换为DOM节点)。当前页面上的所有的HTML标签都转换成DOM节点,这就叫DOM树建完,简称为DOMReady. 3、浏

06

XSS跨站脚本攻击

跨站脚本攻击XSS，是最普遍的Web应用安全漏洞。这类漏洞能够使得攻击者嵌入恶意脚本代码到正常用户会访问到的页面中，当正常用户访问该页面时，则可导致嵌入的恶意脚本代码的执行，从而达到恶意攻击用户的目的。

02

JavaScript 事件基础补充

JavaScript事件是由访问Web页面的用户引起的一系列操作，例如：用户点击。当用户执行某些操作的时候，再去执行一系列代码。一．事件介绍 JavaScript有三种事件模型：内联模型、脚本模型和DOM2模型。二．内联模型这种模型是最传统接单的一种处理事件的方法。在内联模型中，事件处理函数是HTML标签的一个属性，用于处理指定事件。虽然内联在早期使用较多，但它是和HTML混写的，并没有与HTML分离。 //在HTML中把事件处理函数作为属性执行JS代码 <input type="button" va

05

浏览器解析与编码顺序及xss挖掘绕过全汇总

在以往的培训和渗透过程中，发现很多渗透人员尤其是初学者在挖掘xss漏洞时，很容易混淆浏览器解析顺序和解码顺序，对于html和js编码、解码和浏览器解析顺序、哪些元素可以解码、是否可以借助编码绕过等情况也基本处于混沌的状态，导致最终只能扔一堆payload上去碰碰运气。这篇文章就把浏览器解析顺序、编码解码的类型、各种解码的有效作用域以及在xss里的实战利用技巧做一个系统总结，让你深度掌握xss挖掘和绕过。

03

复习 - XSS

简介跨站脚本攻击（Cross Site Script）为了避免与层叠样式表CSS混淆，故称XSS。XSS是指攻击者利用网站没有对用户提交数据进行转义处理或者过滤不足的缺点，进而将一些代码嵌入到web页面中去，使得别的用户访问也好执行相应的嵌入代码，从而盗取用户资料、利用用户身份进行某些动作或对访问者进行病毒侵害等攻击。反射型和存储型XSS的作用一样，只是用户触发形式不同。类型反射型：反射型XSS攻击，又称为非持久型跨站脚本攻击，它是最常见的XSS类型。漏洞产生的原因是攻击者注入的数据反映在响应上，一个

03

js如何控制一次只加载一张图片，加载完成后再加载下一张

今天看到一个面试题，是关于img图片加载方面的，有必要记录一下。其实关于这个问题，只要知道图片什么时候加载完成就能解决了。

01

XSS相关Payload及Bypass的备忘录（上）

跨站脚本攻击（XSS）是一种计算机安全漏洞，通常出现在Web应用程序中。这类漏洞能够使得攻击者嵌入恶意脚本代码到正常用户会访问到的页面中，当正常用户访问该页面时，则可导致嵌入的恶意脚本代码的执行，从而达到恶意攻击用户的目的。

04

利用 img 的 src 属性发起 get 请求踩坑记录

工作中，碰到一个需求，需要使用img标签的src属性发送一个get请求。原先的设想是，当请求发送成功之后，会触发img的onload回调，请求失败，则触发img的onerror回调。奈何理想很丰满，现实很骨感...

00

干货笔记！一文讲透XSS(跨站脚本)漏洞

本公众号提供的工具、教程、学习路线、精品文章均为原创或互联网收集，旨在提高网络安全技术水平为目的，只做技术研究，谨遵守国家相关法律法规，请勿用于违法用途。

02

那些年我们一起学XSS - 3. 输出在HTML属性里的情况

2. 这个时候我们可以把目光发展一下，找一找在【输出】出现在HTML属性里的情况。

03

添加背景音乐的html标签是music,添加背景音乐的html标签是什么,

添加背景音乐的html标签是什么添加背景音乐的html标签是什么，添加背景音乐的html标签是bgsound。bgsound用于插入背景音乐，但只适用于IE，不适用于netscape和firefox。它的参数很少设置，语法是“bgsound src=’bjyy.mp3′ loop=-1”。

04

Xss 备忘单

当输入作为以下 HTML 标记属性的值时使用：href、src、data 或 action（也称为 formaction）。对于脚本标签中的 src，使用外部脚本调用 (URL) 或 “data:,alert(1)”。下面的第二个有效负载警报超出了 Webkit 浏览器的目标上下文。

03

silverlight.js详解.

原文:Understanding the silverlight.js helper class and silverlight object creation 微软公司的Silverlight是一个浏览器的插件,就像Adobe公司的Flash一样.在Silverlight SDK中提供了一个帮助创建Silverlight对象的Silverlight.js文件.在你调用javascript文件是你可能会发现在客户端已经安装silverlight时会生成一段html代码. 如要需要了解这个js文件都做了什么,

06

Python爬虫基础：常用HTML标签和Javascript入门

大部分HTML标签是闭合的，由开始标签和结束标签构成，二者之间是要显示的内容，例如：<title>网页标题</title>。也有的HTML标签是没有结束标签的，例如：
和

01

domReady的理解

domReady是名为DOMContentLoaded事件的别称，当初始的HTML文档被完全加载和解析完成之后，DOMContentLoaded事件被触发，而无需等待样式表、图像和子框架的完全加载。

03

XSS跨站脚本攻击的原理分析与解剖

《xss攻击手法》一开始在互联网上资料并不多(都是现成的代码，没有从基础的开始)，直到刺的《白帽子讲WEB安全》和cn4rry的《XSS跨站脚本攻击剖析与防御》才开始好转。我这里就不说什么xss的历史什么东西了，xss是一门又热门又不太受重视的Web攻击手法，为什么会这样呢，原因有下： 1、耗时间 2、有一定几率不成功 3、没有相应的软件来完成自动化攻击 4、前期需要基本的html、js功底，后期需要扎实的html、js、actionscript2/3.0等语言的功底 5、是一种被动的攻击

05

长亭WAF XSS防护绕过小记

某次业务上线常规安全测试，有记录操作的功能，猜测存在存储型XSS漏洞，但由于存在长亭WAF被拦截。遂将之前总结的XSS绕过手段逐一测试了下。

04

web前端开发初学者十问集锦（1）

答：script标签可以放置在html文件的任何地方（any where），比如既可以放置在html标签外，也可以放置在head内，也可以放置在body内，也可以放置在meta内。如下所示： html标签外:

01

JS魔法堂：IMG元素加载行为详解

一、前言　　　　　　　　　　　　　　　　　　　　　　　　　　　　在《JS魔法堂：jsDeferred源码剖析》中我们了解到img元素加载失败可以作为函数异步执行的优化方案，本文打算对img元素的加载行为进行更深入的探讨。二、资源加载的相关属性和事件　　　　　　　　　　　　　　　　　　资源加载首先当然是确定资源位置的 src属性、随之就是资源加载成功与否的 onload事件和 onerror事件，对于IE5~10来说还多了一个 onreadystatechage事件和与该事件相关联的 r

06

XSS跨站脚本攻击剖析与防御

跨站脚本（Cross-Site Scripting，XSS）是一种经常出现在Web应用程序中的计算机安全漏洞，是由于Web应用程序对用户的输入过滤不足而产生的。攻击者利用网站漏洞把恶意的脚本代码（通常包括HTML代码和客户端Javascript脚本）注入到网页之中，当其他用户浏览这些网页时，就会执行其中的恶意代码，对受害者可能采取Cookie资料窃取、会话劫持、钓鱼欺骗等各种攻击。

03

XSS绕过姿势

XSS为跨站攻击脚本，指攻击者将js脚本(可能是其他脚本)插入到web页面，当用户浏览该网页是，代码就会执行，造成恶意攻击。

02

Kali Linux Web渗透测试手册(第二版) - 9.1 - 如何绕过xss输入验证

到目前为止，在本书中，我们已经确定并利用了一些漏洞，这些漏洞是比较容易利用的，也就是说，在利用这些漏洞时，我们并没有被任何预防机制所拦截，比如说防火墙。

03

XSS的原理分析与解剖

作者 Black-Hole 0×01 前言: 《xss攻击手法》一开始在互联网上资料并不多(都是现成的代码，没有从基础的开始)，直到刺的《白帽子讲WEB安全》和cn4rry的《XSS跨站脚本攻击剖析与防御》才开始好转。我这里就不说什么xss的历史什么东西了，xss是一门又热门又不太受重视的Web攻击手法，为什么会这样呢，原因有下： 1、耗时间 2、有一定几率不成功 3、没有相应的软件来完成自动化攻击 4、前期需要基本的html、js功底，后期需要扎实的html、js、actionscript2/3.

07

前端学习(46)~事件简介

事件：就是文档或浏览器窗口中发生的一些特定的交互瞬间。对于 Web 应用来说，有下面这些代表性的事件：点击某个元素、将鼠标移动至某个元素上方、关闭弹窗等等。

02

再谈DOMContentLoaded与渲染阻塞—分析html页面事件与资源加载

浏览器的多线程中，有的线程负责加载资源，有的线程负责执行脚本，有的线程负责渲染界面，有的线程负责轮询、监听用户事件。

从零开始搭建前端数据监控系统(二)-前端性能监控方案调研

1. 业界案例目前前端性能监控系统大致为分两类：以GA为代表的代码监控和以webpagetest为代表的工具监控。代码监控依托于js代码并部署到需监控的页面，手动计算时间差或者使用浏览器的的API进行数据统计。影响代码监控数据的因素有以下几种：浏览器渲染机制；浏览器对API的实现程度，比如performance API；工具监控不用将统计代码部署到页面中，一般依托于虚拟机。以webpageTest为例，输入需统计的url并且选择运行次url的浏览器版本，webpageTest后台虚拟机对url进

05

[网络安全] 六.XSS跨站脚本攻击靶场案例九题及防御方法-2

当我们输入<script>alert('Eastmount') 时，并没有弹出窗体，运行结果如下图所示：

01

XSS相关Payload及Bypass的备忘录（下）| 文末有打包好的Payload

上述payload都打包在了下面链接中，自己现行研究一番，在哪里使用，可以做些模糊测试工作，具体自己研究研究吧，最后全部.txt 是我将其中的payload都复制到了里面，但是有些地方不足，可以自己修改下吧。失效可联系我，不保证能够秒回，着急就加我微信。嘿嘿。

03

使用 SRI 解决 CDN 劫持

SRI 全称 Subresource Integrity - 子资源完整性，是指浏览器通过验证资源的完整性（通常从 CDN 获取）来判断其是否被篡改的安全特性。

03

WEB开发面面谈之（5）——写JS时必须注意的的一些问题

问题:逻辑复杂，事件绑定逻辑混乱，在某些浏览器上onload和onreadystatechange都会触发，需要另外加标记位判断，逻辑复杂。

06

再谈DOMContentLoaded与渲染阻塞—分析html页面事件与资源加载

浏览器的多线程中，有的线程负责加载资源，有的线程负责执行脚本，有的线程负责渲染界面，有的线程负责轮询、监听用户事件。

02

JavaScrtip之JS最佳实践

一、JavaScript之平稳退化这边使用一个当用户点击某个页面内某个链接弹出一个新窗口的案例： JavaScript使用window对象的open()方法来创建新的浏览器窗口; window.open(url,name,features); 这个方法有三个参数: url:新窗口里打开的网页的url地址。如果省略这个参数(这个参数为空),屏幕上将弹出一个空白的浏览器窗口。 name:新窗口的名字。 featrues:这个参数是以逗号分隔的一个字符串,他的内容是新窗口的各种属性,如新窗口的宽,高,以及新窗口

05

XSS Cheat Sheet

https://portswigger.net/web-security/cross-site-scripting/cheat-sheet

02

JavaScript之childNodes属性、nodeType属性学习

1.childNodes属性:在一颗节点树上,childNodes属性可以用来获取任何一个元素的所有元素,它是一个包含这个元素所有子元素的数组。 <body> <script type="text/javascript"> function countBodyChildren() { var allelements = document.getElementsByTagName("body"); aler

XSS触发语句备忘

一、标准语句 <script>alert(/XSS/)</script> 二、尝试大小写 <sCript>alert(1)</scRipt> 三、使用标签 1、windows事件 //图片加载错误时触发 2、鼠标事件 //鼠标指针移动到元素时触发 <img src=1 onmous

05

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭