本文章僅用于學(xué)習(xí)以及技術(shù)交流，請遵循我國網(wǎng)絡(luò)安全相關(guān)法律法規(guī)。如利用本技術(shù)進行違法活動，本人概不負責(zé)。

終于啊，鴿了這么久，繼本系列第一章sql注入漏洞后，終于來到了第二章XSS注入漏洞（貌似sql注入還有一些技術(shù)沒講到，后期補上嘍（沒有咕咕））。那么，按照本系列慣例，今天這篇專欄依舊是講解一些基礎(chǔ)的內(nèi)容。

那么，首先，我們要了解一下XSS漏洞到底是什么。

XSS漏洞，也是屬于注入漏洞的一種。通常是指攻擊者利用代碼漏洞，向頁面嵌入腳本。

這么說很迷茫吧，那么，請給我5分鐘，我來為你撥開迷霧。

為此，我特意編寫了一個含有XSS漏洞的網(wǎng)頁，運行在我的本地服務(wù)器上。我們來看一下代碼。（注：以下內(nèi)容需要有一定的html,php,javascript基礎(chǔ)）

通過index.html我們看到，我們通過form表單，將輸入框內(nèi)容通過post的方式，發(fā)送到了XSS.php中，并且最后會在XSS.php中把你的輸入顯示出來。

那么，如果我們提交惡意代碼呢？

說到這里，是不是感覺思路和SQL注入漏洞的思路很像？

我們先來正常的輸入一個值看一下。

好的，正常顯示了我們提交的HELLO HACKER。那么，如果我們提交一段javascript腳本呢？

結(jié)果看到，它被瀏覽器執(zhí)行了，它并沒有直接輸出，瀏覽器給我們反饋了/xss/。那么，思路再擴展一些，既然能夠執(zhí)行javascript腳本，那么，我們是不是可以編寫惡意腳本來獲取信息和進行滲透呢?在這里留個懸念，我們之后在實戰(zhàn)篇來講解。

今天這一篇比較短，后續(xù)我會繼續(xù)編寫XSS實戰(zhàn)詳細教程。如果發(fā)現(xiàn)本教程有什么錯誤，請指出來，我們相互學(xué)習(xí)，共同進步。