XSS 跨站脚本攻击,xss漏洞通常是通过输出函数将javascript代码输出到html页面中,通过用户本地浏览器执行的,所以xss漏洞关键就是寻找参数未过滤的输出函数。反射性,将script代码添加到url参数中,若网站会直接将url中参数显示到页面,则会出现该漏洞,;此种情况下用户正常操作,但额外的附加代码会暴露信息;即进入该网站的初始url存在恶意参数,一般容易出现在搜索页面。存储型XSS,如表单存储数据时将script代码存入数据库,读取时直接显示,则会出现所有查看该内容的页面都会出问题DOM XSS XEE xml中system会引用外部实体参数中接受xml会存在此漏洞