起因某SRC厂商需要我证明XSS可以弹出Cookie，不是只能弹出1。背景发现只有iframe框架可以插入，可以执行console.log，需要弹出cookie，on事件被禁。初步尝试先上来甩一个payload：<iframe src=\"data:text/html,<script>console.log(document.cookie

####靶场界面  ######一个购物界面，有一个account选项，进去以后，尝试使用sql注入，弱密码失效 ![](https://nc0.cdn.zkaq.c