XSS知识汇总

『xss如何加载远程js的一些tips』
http://www.freebuf.com/articles/web/24496.html
『打造一个自动检测页面是否存在XSS的插件（完结篇）』
http://www.freebuf.com/sectool/82743.html
『说一说新手在寻找XSS时所存在的一些误区』
http://www.freebuf.com/articles/web/6389.html
误区1： XSS，不是专门去“绕过”限制。
XSS是很好防御的，不就是过滤一下么，所以我们不要太多寄希望与程序员错误的过滤逻辑，而应该把希望寄托于程序员的“忘记过滤”上。

1.像评论框，个人资料这种，你所能想到的位置。稍微有一点安全意识的程序员也能想到，所以经常是被过滤掉的。
2.你所填入的资料，并不总是以HTML标签的形式，输出到页面上。所以有时候并不是不能X，只是因为你填入的东西不对。

看不见有两个层面

A） 输入看不见。 建议大家在提交请求的时候，使用抓包软件，然后对请求的参数逐个测试。
B)  输出看不见。 建议大家对返回的数据，也可以使用抓包软件抓取数据，然后对抓回的数据进行搜索，搜索你输入的数据，来定位看不见的输出。还有一种方式，在chrome中，可以搜索浏览器调试工具中的[resource]。

http://www.freebuf.com/articles/web/6389.html
『心伤的胖子的乌云主页』
https://web.archive.org/web/20160401042439/http://www.wooyun.org/whitehats/%E5%BF%83%E4%BC%A4%E7%9A%84%E8%83%96%E5%AD%90

『gainover的乌云主页』
https://web.archive.org/web/20160401042439/http://www.wooyun.org/whitehats/%E5%BF%83%E4%BC%A4%E7%9A%84%E8%83%96%E5%AD%90

『心伤的瘦子』

http://www.wooyun.org/whitehats/%E5%BF%83%E4%BC%A4%E7%9A%84%E7%98%A6%E5%AD%90

http://cb.drops.wiki/search.php?kind=bugs&keywords=那些年我们一起学XSS