HTML5去掉了很多过时的标签，例如

和，同时又引入了许多有趣的新标签，例如和标签可以允许动态的加载音频和视频。

HTML5引入的新标签包括、、、、等等，而这些标签又有一些有趣的属性，例如poster、autofocus、onerror、formaction、oninput，这些属性都可以用来执行javascript。这会导致XSS和CSRF跨域请求伪造。

下面我们要讲到就是这些关键载体。它允许创建XSS的变种并且可以绕过现有的XSS过滤器。

首先来看一个标签：

它使用了一个source标签，而没有指定具体的src，所以后面的onerror *** 会立即得到执行。

下面是video的poster属性，它链接到一个图像，是指当视频未响应或缓冲不足时，显示的占位符。

另外还有HTML5新引入的autofocus和formaction属性，autofocus会让元素自动的获取焦点，而formaction属性能覆盖 form 元素的action 属性。