文章总结： 本文介绍DOM型XSS实验，通过修改URL参数传入payload触发弹框。实验验证了DOM型XSS的特征：数据不经过后端直接在浏览器端处理，且payload未写入页面源码。这帮助读者掌握非持久型DOM型XSS的原理及与其它类型XSS的区分方法。 综合评分： 68 文章分类： WEB安全,渗透测试,漏洞分析

网安实验干货每日分享DOM型XSS-0114

原创

建哥聊安全

建哥聊安全

2026年1月14日 16:16 湖南

DOM型XSS

实验目的

通过本实验，掌握XSS漏洞的原理以及根据XSS漏洞不同分类的方法，掌握DOM型XSS的特点。

实验环境

·操作机：Win10 用户名：Administrator 密码：Sangfor!7890

·靶机：Apache + PHP

·实验地址：http://ip/xss/06/index.php

实验原理

在页面URL的位置，传入”message”参数，从而构造Payload使其弹框，掌握DOM型XSS的特点。

实验步骤

1、登录”Attack”操作机，打开浏览器，访问http://ip/xss/06/index.php

2、页面没有任何有用信息，只是把URL地址输入在页面中，右键，查看页面源代码

3、从代码中可以看出需要传递“message”的参数，并截取参数后的值写入到页面中，返回页面给“message”参数传递一个值

4、将“message”参数的值改为payload

弹框

5、点击“确定”，右击，查看页面源代码，发现提交的payload未写入页面中，说明是DOM型XSS

实验总结

通过本实验，掌握DOM型XSS的特点，根据挖掘出来的该XSS漏洞是非持久性的，并且数据流量走向是URL到浏览器，未经过后端，提交的payload未写入页面中，结合XSS漏洞不同分类的方法，验证DOM型XSS的特点。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：建哥聊安全 建哥聊安全《网安实验干货每日分享DOM型XSS-0114》