免责申明

        本文仅是用于学习研究XSS攻击的原理，请勿用在非法途径上，若将其用于非法目的，所造成的一切后果由您自行承担，产生的一切风险和后果与笔者无关；本文开始前请认真详细学习《‌中华人民共和国网络安全法》【学法时习之丨网络安全在身边一图了解网络安全法_中央网络安全和信息化委员会办公室】及其所在国家地区相关法规内容 ；如您继续阅读该文章即表明您默认遵守该内容。

一、XSS介绍

  1.1、XSS简介

跨站脚本攻击（XSS）_xss攻击脚本https://coffeemilk.blog.csdn.net/article/details/142266454

  1.2、XSS可能存在的位置

        一般来说只要Web网站中涉及到的用户交互（如：输入输出、搜索、查询等按钮）的位置，都可能存在XSS漏洞【常见的XSS地方有：登录注册、提交留言评论、a标签连接地址等等】。

  1.3、XSS漏洞检测

        1.3.1、使用工具扫描XSS

        常见的XSS漏洞扫描工具有：AWVS、AppScan、XSStrike、xray

        1.3.2、手动测试XSS

        手动测试XSS除了自己手写之外，还可以借助第三方浏览器插件如【Hackbar】或BurpSuite进行测试；由于人的精力是有限的，所以测试的时候需要精准操作（针对性的选择内容与特殊字符测试），这样可以快速测试出是否存在XSS漏洞；手动测试XSS漏洞的方法有：