还有其他我没有考虑到的攻击吗？

为了防止单引号表单被编码，您可以尝试将有效负载潜入路径而不是查询字符串。例如，如果易受攻击的页面位于http://example.com/path/vulnerable.php您可以尝试这样的事情：

http://example.com/ 'onerror='payload /..%2Fpath/vulnerable.php

这个想法是一些服务器隐式解析路径。他们不检查第一个文件夹是否'onerror='payload确实存在，而是立即切换回父目录 ( ../) 并解析路径的其余部分而不发出任何重定向。（对斜线进行 URL 编码以%2f防止浏览器自动缩短路径。）

还有另一种方法可以突破 src 属性吗？

不，匹配的引号是您逃离属性值的唯一机会，如本答案中所述。