首先打开我们搭建好的pika pika,进入本节 和之前一样,我们还是先随便输入看返回结果(1111,1111) 可以看到,我们输入的内容并没有在前端输出,我们并不知道我们输入的内容到了哪里,但可以肯定的是,内容不在前端记录,极大肯是在后端有记录,这个时候就引出了XSS盲打的概念,盲打的意思是无法直接在前端看到反馈效果。xss盲打类型交互的数据会被存在在数据库里面,我们先查看提示登录到后台 这就是管理员后台,可以看到我们输入的记录都在这里显示,也就是说我们的XSS脚本也会在这里执行,我们简单的弹个窗试一试 可以看到在后台执行了我们的js语句并且也有记录,在每次刷新时都会触发 要说明的是,在真实情况中,XSS盲打是非常复杂的,因为在后台会有很多防护,这时候就要不断尝试各种方法来绕过XSS的检测了