我竟然无意中在尝试攻击别人家的网站，真尼玛醉了

小学生放学了? 先补补语文再去学习 JS 吧, 毕竟语文数学英语都是必修基础课.....

上帝将智慧洒满人间 你却撑起了伞╮(╯▽╰)╭

@lianz 我不懂就来问，你这样何苦呢。你出生就是 CS 本科毕业？

是 XSS ，但是一般都是 进行过滤的。 获取 cookie 算小的，如果能执行 sql 直接 drop 掉数据库。

/><script>alert('楼主领盒饭');</script><

楼主 要在电脑旁边插上三支香 才可以这个值

@j4fun 借点你的智慧呗。我的不够用。

@lianz 何苦呢？你难道不是这样过来的？

Greasemonkey

删掉空格

支持楼主探索，
说风凉话的有意思吗？

楼主，别人的网站从未自己执行过网页上的 JS ，都是你的浏览器在执行。包括你自己在 console 写上去的代码。

五十笑百

如果对方网站没过滤确实是能这样的 不过楼主你在 console 里面。。。 怎么改都是在单机啊

@fy 我靠你说的对啊。我把自己绕进去了。

这个一般都是搞搜索页。

因为搜索页会生成有一个带参数的链接，可以转发给其他人。

/><script>alert('楼主领盒饭');</script><

@huijian222 我想通过写几行代码，让对方服务器执行这行代码。结果发现不成功。在自己 console 里试了试，可以。现在才发现我把自己绕进去了。

我以为我穿越了 上回看到这种问题是在七八年前的建站论坛里。。。

@hiboshi 谢谢解答和支持

@Phariel 那有什么， JavaScript 学的水的人多了去了，你现在就遇到了一个:)

标题上加个 「震惊！」 更有说服力些。

记得很久以前的时候，我学着用 FontPage 做网页。做好了之后用 IE 打开了网站首页开始欣赏了起来。由于之前没上过网，那个网站就成为了唯一一个我能浏览的网站了。

一个意外的右击让我发现了“查看页面源代码”这个菜单项，点击之后弹出了一个记事本，里面是一些代码，中间夹杂着我网页中的文字。

由于好奇，我更改了其中一些文字，然后保存了那个文件，关掉了记事本，刷新了一下我的网页，神奇的一刻出现了：我更改的内容竟然出现在了网页上！！

“看来 IE 的安全性很差真的是名副其实啊，竟然能让浏览者随意更改网页的内容”，我当时心想。

@Shieffan 那我应该去 UC 应聘了

@bianhua 震惊！用 F12 竟能修改 google 首页！😂

有些基本概念可能需要厘清一下。

1. 浏览器的 console 的 document 改的是什么？
2. 浏览器和对方服务器是怎么交互的？
3. XSS 攻击的几个条件。


我也是二把刀，只能讲下自己的理解。
1. console 这里改动的都是你客户端本地机器渲染出来的内容。你可以用脚本去 setValue ，但是这都是你本地浏览器里的内容，和对方服务器无关。
2. 浏览器和服务器交互一般来说是页面的 http get/post 这个样子，再多一层就是 ajax 的 http get/post 。虽然有 socket 之类的应该不是你想问的内容。在你的例子里，你的改动不经过 http 请求是发不到服务器端的，所以也不存在攻击了别人网站这回事情。
3. XSS 攻击要求 a.把你的脚本上传到服务器上， b. 别人读取服务器内容是顺便读取了你上传的脚本， c.别人的浏览器执行了你的脚本。 这样造成的结果就是别人不知情的情况下用他的浏览器运行了你的脚本，是为跨站+脚本+攻击。同样，在你的例子里，你的 Scripts 没有传到服务器上别人是读不到你的 Scripts 的，同时你的脚本没有攻击性，所以既不是跨站，也不是脚本攻击，和 XSS 没有关系。。。


我觉得大家吐槽大概是觉得这些东西解释起来太麻烦了吧。。。应该不是恶意的。。。

我为啥这么闲的蛋疼解释呢？因为我年假快过期了今天在家里蹲着休假呀！

#1 说话确实不好听，但是道理没有错，发帖子确实应该有些技巧，这个和初学者无关。

你那么多话其实就用一句就能概括：

[console 执行 document.getElementById("").value = "AAA" 是否算 XSS 注入]

小学计算机课上我曾经兴冲冲地跟旁边的同学说这个“发现”
当时不记得是 IE4 还是什么，没有什么 F12 ，就是一个查看源代码还是叫什么的按钮
然后我把代码用记事本打开，另存为……
同学都善意地指出我只是保存到自己电脑了， 233

@coderluan 谢谢。

请多点宽容。至少我觉得楼主还没到要我们冷嘲热讽或者恶言的地步。

写的太乱，表述不清楚。

这种表述能力你可以告别这一行了。。。

XSS 。我用这方法偷 cookie ，进入了很多钓鱼网站的后台

@quicknight 那但愿你在这一行干的久一点，写代码到 70 岁吧。

@kulove 我其实就是想说，我希望能够把一个网页提供的服务，做成 API ，这个网页有一个 input textarea ，需要手动输入，然后点击按钮 submit 。我就特别希望把需要手动输入的 input textarea ，不要手动了，而是使用 post 等方法，传一个值进去，再点击这个 button 。搞了半天没成功。我意识到这样搞可能是在攻击别人。至于 console 里写那一行代码，是调试。看这行代码能不能行确定改变这个 textarea 的 value 。

1L 说的并不是技术问题，而是语文能力。
说话之前要先想一下，把语言组织好，方便别人理解，这也是对别人的尊重。

@ericgui #35 做成 API post 的话不属于攻击的。

至于攻击要看你输入的值是什么了，输入 html 标签可能是 xss ，输入 sql 就是 sql 注入了。

@kulove 谢谢指点！

@ihciah 大神好厉害！

xss （跨站脚本执行）是服务端漏洞（ dom xss 略微有些不同），你也可以理解成 js 注入，你的输入导致服务端返回的 js 注入了你的 js 代码 所以先谷歌一下还是比较好的

F12 的不算 XSS 的。
26 楼说的更多的是存储型的 XSS ，多见于留言板等功能处，将形如
</textarea><script>alert(document.cookie)</script><textarea>
的 payload 写入服务器的数据库，如果成功的话，任意人查看该页面时都会弹框。
还有反射型的 XSS ，是服务器将 get 的参数未经过滤直接嵌入了页面代码，因此可以构造形如
http://www.bug.com/index.php?search="'><script>alert(document.cookie)</script>
的 payload ，将 URL 发送给受害者，受害者点击后其浏览器会弹窗。

为什么感觉这个帖子萌萌哒

弱弱说句..我们现在的项目里就没有防 xss..隔三差五有点小 bug(非恶意).. 幸亏不是 toB 的工程..

CS 本科毕业并不知道什么是 XSS 什么是
我们网络安全是选修然而我并没选，但是数学语文英语是必修

@ihciah #25 66666666666

@bianhua 我特么也是这么走上不归路的。。。至今已经十二三年了。。

今天 v2 怎么这么多人开嘲讽的
说的好像自己没彩笔过似的

建议理解区分一下客户端，服务端

看了楼主以往的帖子，楼主真心很幽默

lz 真的好萌唉。

1# 虽然话不好听，但人家并没吐槽什么 CS 知识，人家吐槽的是 “语言表达”。
连最基本的语句通顺都做不到，你要别人怎么拿出认真的态度回应你。

self-xss, sb

1# 说话虽然带着嘲讽，但是点出了楼主真正的问题所在
楼主应该从里面知道自己的不足，而不是埋怨别人为什么要嘲讽自己。

真正讨厌的是那种无脑喷、目中无人、带家人骂人的那群人。

想到个笑话，小时候上网，有个朋友和我说‘你看网页的时候不要老用鼠标框那些文字，这样影响别人（网上同样浏览这个网页的人）看的’

我才发现那个“红轴 THINKPAD ”也是出自 LZ 之手。如果 LZ 不是故意卖萌，那就真的是天然激萌啊哈哈

@ericgui 那个楼主...我错了, 向你道歉.

顺便给你介绍个 Chrome 插件, 应该可以完美满足你的需求.
插件名字: Autofill

@hiboshi 也向你道歉.

楼主，建议你先去学点网络基础，不会浪费时间的。