Question

我基本上希望<meta>标记能够立即触发javascript事件，但onload =似乎无效。

我的下一次尝试涉及自动对焦/ onfocus，但这也无效。

是否有任何可以与meta标签一起使用的事件处理程序来执行我尝试做的事情？

编辑：更多信息。

我是一名网络应用程序。我在客户的网页上发现了一个持久的XSS，并希望为他们制作一个可行的PoC来向他们展示危险。标签如下例所示：

＆lt; meta content =＆＃34; INJECTIONgarbage字符＆＃34;＆gt;

＆GT;已经消毒了，因此打破meta标签是不可能的。＆＃34;没有消毒，这是漏洞。

我可以通过以下方式向他们展示危险：

0＆＃34; http-equiv =刷新b =＆＃34;

不断刷新页面，看起来更像是一个可爱的客厅技巧，而不是真正的威胁载体。

由于30个字符的限制，我无法有意义地重定向到外部网站。我能做的最好的就是5个字符。

如果onload工作，我可以做类似的事情：

＆＃34; onload = alert（）b =＆＃34;

（元标记看起来像）：＆lt; meta content onload = alert（）b =＆＃34;垃圾＆＃34;＆gt;

这将允许我演示一个更严重的威胁向量，因为我可以在那时包含任意JS来为自己购买更多空间（因此，为BeEF提供一个钩子）。

即使我不能包含任意的JS，我仍然会向他们展示它，但我觉得如果我甚至不能展示JS，我的报告就更有可能被认为是不重要的执行，这是一个持久性 XSS，所以我希望它得到认真对待。

Answer 1

使用带有元标记的onload触发器是不可能的。

与onload功能兼容的标签包括following：

<body>, <frame>, <iframe>, <img>, <input type="image">, <link>, <script>, <style>