前端js代码限制输入框只能提交20个字段，将它修改为100即可（当然，这是get型xss，可以直接在url传参处添加攻击语句）提交攻击语句后发现，跳转回了靶场首页，网页debug发现：第一：请求了指定的钓鱼页面的url，并在后面携带了我的cookie信息第二：跳转回靶场首页（前面“靶场cookie获取的额外操作”的结果，用来抵消受害者的怀疑）