做完了一个项目，然后没啥事做，无意看到了一个钉钉的外部链接:

　　题外话1:

　　　　查看源码，复制其中的代码:

try {
var search = location.search;
if (search && search.length > 1 && search.charAt(0) === '?') {
search = search.substr(1);
var pairs = search.split('&');
var kv = {};
for (var i in pairs) {
var parts = pairs[i].split('=');
if (parts && parts.length > 1) {
kv[parts[0]] = parts[1];
}
}
}
var errcode = kv['errcode'];
var errmsg = kv['errmsg'];
if (errcode) {
var divCode = document.getElementById('code');
if (divCode) {
divCode.innerHTML += ('errcode: ' + errcode);
}
}
if (errmsg) {
var divMsg = document.getElementById('msg');
if (divMsg) {
divMsg.innerHTML += ('errmsg: ' + errmsg);
}
}
}
catch (e) {console.log(e);}

　　关键部分是:

　　　　

　　写入errcode和errmsg到divCode和divMsg中。

　　其中errcode和errmsg都是我们可控的。

　　打开console简单测试下:

　　　　不懂没关系直接做:

　　　　　　

说明我们外部可控，导致这个原因是因为遍历的是location.search

　　本地搓个demo:　　　　

只要errcode和errmsg为xss代码，即可触发xss攻击。很可惜这里。。最后做了处理。

　　　　正题:加载第三方js代码:

　　　　刷新钉钉页面:

　　　　

发现加载了一些js链接依赖:

　　　　查看源码，看看他怎么调用的:

　　相当于的有意思，不同于以前的，以前我们xss打cookie是这样的:

　　通过阿里加载js的方式，我们可以改造我们的方式如下:

我们访问网页:

　　　　

直接加载了，查看我们是否接收到:

　　　　

　　成功接收成功。

　　这个cookie窃取已经不是啥骚姿势了，只是这次通过阿里正常加载js地址，学习包装型的cookie获取。