跨站脚本是一种 Web 安全漏洞,允许攻击者破坏用户与易受攻击的应用程序的交互。
非持久性
恶意脚本来自当 前的HTTP请求
持久性
恶意脚本来自网站的数据库
http://www.webappsec.org/projects/articles/071105.shtml
该漏洞存在于客户端代码而不是服务器端代码中
页面本身(即 HTTP 响应)不会改变,但页面中包含的客户端代码由于 DOM 环境中发生的恶意修改而以不同的方式执行
发现 :输入的参数会在页面显示
换属性
script
on
