XSS中遇到mixed content

前阵子挖超星的若干个xss和csrf,你懂得,payload我放到了自己网站上的js里,但是自己网站是http的,不支持https,超星吧默认进去是https的,浏览器的安全策略不允许你在一个https的页面里请求一个http的资源,又不好把链接发给别人诱导其点开,payload太长了不能直接放到页面里,之前pkav的教程里的方法就是自己搭建https的站点来访自己的js,这里我又想了个办法,先把自己http的网站上的的js引用进去,然后再加一个window.location.protocol="http"就ojbk了哈哈,当然需要这个网站同时也没废掉http
最后搞了个恶作剧然后提交了
具体的的话一个是csrf,学生自己注册一个账号可以开课,我就开了一门课,发现老师的后台有设定抢答的分数的地方,是个get的请求,没有token,其中的参数在前台都能获取到,我就给自己加了若干分,因为这学期老师玩花样,平时成绩按照超星的排名来给,美滋滋,我就在登录后就能看见的讨论区里发了几个图片,把图片的url改成了这个请求的url

后来发现做笔记的地方有xss,于是,如下图

当然恶作剧的都是我玩的很开的好朋友