我正在尝试在我在网站/浏览器中为另一个合法网站调用的<iframe>内执行XSS。
这是我一直在努力的事情,这是行不通的。
<iframe src="legitwebsite.com" id="targetFrame" onmouseover="document.getElementById('targetFrame').contentWindow.alert(document.location.href);">
我不知道这是否可行,但是我相信,如果一个网站具有点击劫持漏洞,那么即使使用此漏洞,它也可以升级到XSS。
有什么想法吗?