XSS中遇到mixed content

前阵子挖超星的若干个xss和csrf,你懂得,payload我放到了自己网站上的js里,但是自己网站是http的,不支持https,超星吧默认进去是https的,浏览器的安全策略不允许你在一个https的页面里请求一个http的资源,又不好把链接发给别人诱导其点开,payload太长了不能直接放到页面里,于是先把自己的js引用进去,然后再加一个window.location.protocol="http"就ojbk了哈哈