XSS注入——反射性XSS

xss注入的攻击步骤：

1.查找可能存在的注入点（搜索框，留言板，注册）

2.观察输出显示位置：
    html：
        尖括号外部，
        尖括号内部:
            引号内部==》闭合，不能闭合（能不能执行js代码）
            引号外部：能不能构造新属性

    

在这一段是主要代码

是js前端语言 并且提到了alert函数 查了一下：

alert() 函数可以用来简单而明了地将alert()括号内的文本信息显示在对话框中，我们将它称为警示对话框，要显示的信息放置在括号内，该对话框上包含一个“确认”按钮，用户阅读完所显示的信息后，只需单击该按钮就可以关闭对话框。

alert()是js的window对象的一个方法，调用时可以写成window.alert()，也可以写成alert()，功能都是产生一个带确认按钮的对话框，上面显示括号内的信息。

警告框经常用于确保用户可以得到某些信息。当警告框出现后，用户需要点击确定按钮才能继续进行操作。

这样就可以绕过了  没有任何的限制 就是一个简单的反射型xss注入

等明天搭一个本地的靶场来做xss-labs

我认为不是很难，反射型xss