DOM型的xss不像反射型xss和儲存型xss那樣會與後臺互動，DOM型xss的實現過程都是在前臺。

DOM是HTML文件的程式設計介面，HTML DOM 定義了訪問和操作 HTML 文件的標準方法，且以樹的結構表達HTML。

通過HTML DOM，樹中的所有節點均可通過javascript進行訪問。即所有元素均可以被修改，甚至是建立和刪除。

這裡有一點需要注意，DOM型不需要依賴伺服器端響應。不像反射型，有一段伺服器的處理程式碼。

Dom是一個與平臺，程式語言無關的【埠】，它允許程式或者指令碼動態的訪問和更新文件的內容，結果和樣式，處理後的結果能夠成為顯示的一部分，不依賴於提交資料到伺服器端，從而客戶端獲得Dom中的資料在本地執行，如果Dom中的資料沒有經過嚴格的確定，就會產生Dom型XSS漏洞。

在簡單點描述：（Dom型Xss是一種基於文件物件模型的一種漏洞）

Dom的具體使用方法和一些它能做到的功能：

點選F12開啟控制檯，然後找到console，然後在下面輸入document.cookie,它就會返回我們當前的Cookie值。

輸入document.url,就會返回當前的url值

Document.body 可獲取網頁body裡面的全部程式碼

Document.domain 可獲取網站域名

getElementbyid()返回對擁有指定id的第一個物件的引用

getElementbyname()返回指定名稱的物件集合

getElementbytagname()返回指定標籤的物件集合

document.write()頁面輸出

innerHTML() 改變內容

eval()執行程式碼

可以拿一些做演示，比如url和write配合，就可以在網頁上顯示網站的域名。

本文來自部落格園，作者：{admin-xiaoli}，轉載請註明原文連結：{https://www.cnblogs.com/crackerroot}