likfishdn的博客

恶意攻击者利用web页面的漏洞，插入一些恶意代码， 当用户访问页面的时候，代码就会执行，这个时候就 达到了攻击的目的。HTTP（超文本传输协议）定义了多种请求方法，用于指示客户端希望服务器对资源执行的操作。由于页面的DOM结构被恶意构造的代码篡改，导致用户操作引发恶意脚本执行，攻击过程不涉及服务器端变化。：用于向服务器提交数据，通常用于创建新资源或提交表单数据。类似于GET，但只请求资源的头部信息，不返回实际内容。如：检查资源是否存在或获取元数据。：用于更新指定资源，或者如果资源不存在则创建新资源。

这里试了下之前的方法" type="text" onclick="alert('xss')不可以直接执行，此时我们看一些cookie。此时在页面上添加一个按钮click" type="button" onclick="alert(/xss/)这里将ref的内容替换成" type="text" onclick="alert('xss')改为user=" onclick="alert('xss')" type="text"使用"onmouseover="alert(/xss/)"