漏洞验证 DVWA 靶场为例 存在 XSS 输入的内容原样返回,则存在 xss 漏洞 <script>alert(1)</script> 如果直接使用攻击代码很容易被 waf 等防御措施发现,从而禁止访问 使用其他方式验证内容原样返回 提交测试内容 scr><) 查看源代码,测试内容没有被过滤转义,存在 XSS 不存在 XSS 将难度调为完全防御模式 测试验证 aler<> 被转义为实体编码,XSS 漏洞不可用 aler<> 被转义为实体编码,XSS 漏洞不可用