Question

如果一个网站可以执行用户提交的js和html代码，可以做些什么

如图，如果一个网站可以执行用户提交的js和html代码，如果我作为入侵者，我可以最多搞什么破坏活动？对网站造成怎样的威胁？

Answer 1

最简单的破坏活动就是嵌入一个mouseover事件的JS代码，然后触发一个死循环函数。这样只要用户不小心，用鼠标滑过相关页面，就会使得页面崩溃。更严重一些，可以将死循环函数改为读取用户cooke信息的函数，然后将用户信息提交到自己的页面，从而获得其它用户信息。

Answer 2

请问这种执行是在前台只对当前用户，还是可以提交到后台，所有的用户都执行的。
如果是前者，破坏相对小些，主要靠网站开发的健壮性了，因为这样的开放对于搞破坏的人来说其实相当于并没有什么变化，js本来就可以在前台任意的执行。
如果是后者，那么破坏可以非常大，比如可以将登陆该页面的用户跳转到其他页面，欺骗用户，可以屏蔽所有的访问等等。