XSS 가능한 html 태그 패턴

<script> : 자바스크립트, VB 스크립트

- <script>alert("test");</script>

<iframe>

- <iframe src="http://xxx.com/"></iframe>

<object>

<object type="application/x-shockwave-flash" data="image/banner.swf" width="140" height="40"></object>

<applet > : 자바 애플릿과 HTML 연결

<applet code="class name" width=n height=n></applet>

<embed> : 웹 페이지에 객체 삽입

<embed src="http://aaa.com/flash.swf"></embed>

<form>

<meta> : meta 태그가 지시하는 URL로 이동, content=0 은 즉시 이동

<meta http-equiv="refresh" content="0;URL=http://www.xxx.com">

<script> 태그가 지시하는 대로 이동

<script>location = "http://xxx.com";</script>

unescape() 

html 인코딩된 코드를 디코딩

- 출처: <웹 모의해킹과 시큐어코딩 진단 가이드 > 중에서