去年9月转了一篇文章，取名为《77怒汉，77个XSS用例总结》，现在已经被我删掉了，是一些XSS用例的总结，一开始觉得是从某知名安全站转的，应该没什么问题，中间也有网友指出过其中的一些错误。后来找到了文章的出处，就是OWASP的XSS Filter Evasion Cheat Sheet，今天想自己看一看XSS有关BYPASS过滤的内容，越看越不靠谱，特别是一对照了英文原版的时候，我发现那篇翻过来的东西就是篇垃圾啊，不仅翻译有问题啊，尼玛很多地方代码都是一样的啊。

在这里要为转载了一篇垃圾文章道歉，特别那篇文章已经被好多采集站和黑客站转过去传播了，在这里一并向那些被误导的读者道歉。由于还没出中文版的XSS Filter Evasion Cheat Sheet，所以大家还是努力学英文吧，最近对翻译的东西很反感，很多东西吧，翻过来水平不行，味道完全变了，然后又不加原文出处，典型的天朝山寨作风。

不过我发现XSS Filter Evasion Cheat Sheet里面还是有些地方需要改的，比如在这一条：

HTML entities

The semicolons are required for this to work:

<IMG SRC=javascript:alert("XSS")>

实际上很明显显示出来的是不对的，实际意思是应该是使用"来代替双引号，所以说需要分号没有被过滤，因此实际上应该是：

<IMG SRC=javascript:alert(&quot;XSS&quot;)>

不过img标签在src的弹框好像IE6以后的版本都不行了。

在研究XSS各种变形的时候发现一个好网站，有需要的时候可以上去查查

HTML5 Security Cheatsheet