求天下者，积少成多

http://blog.youkuaiyun.com/wangyi_lin/article/details/12560963一直对xss的理解比较薄弱，今天蛋疼的来整理一下。主要来源于心伤的瘦子大神的教程。这个XSS在现在看来反射型已经穷途末路，因为浏览器会自动过滤掉它。但是存储型的XSS危害还是比较大的，满足XSS要满足两个条件，就是输入和输出的时候都不存在在过滤，这其实是比较严格的。测试代码主要是收集

一、什么是XSS?XSS全称是Cross Site Scripting即跨站脚本，当目标网站目标用户浏览器渲染HTML文档的过程中，出现了不被预期的脚本指令并执行时，XSS就发生了。这里我们主要注意四点：1、目标网站目标用户；2、浏览器；3、不被预期；4、脚本。二、XSS有什么危害？当我们知道了什么是XSS后，也一定很想知道它到底有什么用，或者有什么危害，如何防御。关于XSS有关危害，我这里中罗列一

1、这个应该都知道<script>alert("test")</script> 11常用于测试 是否存在跨站 2、这句代码将会弹出壹个包含有浏览者cookie信息的对话框，如果用户已经通过帐号登陆网站，在显示的cookie信息中将会包含有用户的账户名和密码。<script>window.alert(document.cookie);</script>113、当用户浏览该 页时，将弹出壹个高爲20