XSS简介

XSS也叫跨站脚本，是网站中最常见的漏洞之一。

绝大多数的网站是由html+css+javascript组成，html搭建起来了网站的基本的框架，保证了基本的网页信息浏览。css使网站渲染的更好看，Javascript是网站的灵魂，能让网站动起来，与用户进行交互，但是也潜藏着隐患。

XSS原理：

大多数网站都有搜索功能、用户登陆功能、留言评论功能等等，当用户在这些功能框中没有输入正常的语句，反而输入了恶意的JavaScript代码，并且网站没有对这些恶意的Javascript代码进行过滤拦截，使得这些恶意的JavaScript在网站中进行了执行，这样就形成了XSS攻击。

'">是常用的测试XSS的JavaScript代码，表示这是JavaScript语言，应该以JavaScript语言进行执行 alert()代表着弹窗 ，1就是弹窗的内容。

XSS常用的测试语句：

'">

xss

:

代表着1号字体，如果你的网页上出现了1号字体的XSS字样，说明你输入的JavaScript代码得到了执行，很有可能存在XSS漏洞。

'"> 如果出现弹窗，则证明一定存在漏洞。

如果发现script 被过滤掉了 无法进行使用，可以使用Javascript事件，只要满足条件，它就会执行

比如：'">οnclick="alert(1)  onclick事件，检测到鼠标进行点击，就会执行后面的alert(1),进行弹窗

'">οnmοusemοve=“alert(1) onmousemove事件，检测到鼠标进行移动，就会执行后面的alert(1)进行弹窗