我在客户端的应用程序中发现了Cross Site Scripting漏洞.问题是易受攻击的参数不接受括号.所以像alert(document.cookie)括号一样会被拒绝.我可以使用XSS,alert `xss`但我的客户端需要能够访问DOM的证明.
换句话说,如果alert(document.cookie)没有括号,我还有其他选择吗?
谢谢!
我试图从另一个网站使用jQuery然后document.write它获取一个脚本
这是我的代码
var url = "https://code.jquery.com/jquery-1.10.2.js";
var dam = $.getScript(url);
document.write(dam);
但这不起作用!! 我在页面上得到的就是[object Object]
没有XHR可以实现吗?