【问题标题】:Dynamic script hack callback动态脚本 hack 回调
【发布时间】:2013-01-27 00:18:22
【问题描述】:

我有一个页面只包含一个字符串,需要从不同域的页面中读取它。我试图通过动态脚本破解来做到这一点(以避免安全限制)并且可以读取该字符串但不能将它带入回调以继续在变量中使用它。

我的问题是我只需要使用 javascript 来完成。

这是我目前使用的代码:

index.html:

<html>
<head>
<script type="text/javascript">
    function xss_ajax(url) {
        var script_id = null;
        var script = document.createElement('script');
        script.setAttribute('type', 'text/javascript');
        script.setAttribute('src', url);
        script.setAttribute('id', 'script_id');

        script_id = document.getElementById('script_id');
        if(script_id){
            document.getElementsByTagName('head')[0].removeChild(script_id);
        }

        document.getElementsByTagName('head')[0].appendChild(script);
    }

    var url = "http://otherdomain.com/ping.html";

    xss_ajax(url);
</script>
</head>
<body>
</body>
</html>

ping.html:

1|1739

非常感谢,对不起我的英语。

【问题讨论】:

    标签: javascript cross-domain


    【解决方案1】:

    如果您说,ping.html 的结果没有定义任何变量

    做了一个像

    的对象
       result = [1,1739];
    

    并在 index.html 中声明了

    var result = [];
    

    那么你可以使用它。

    【讨论】:

      猜你喜欢
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 2014-08-04
      • 1970-01-01
      • 2015-01-17
      • 1970-01-01
      相关资源
      最近更新 更多