XSS攻擊通常指的是通過(guò)利用網(wǎng)頁(yè)開發(fā)時(shí)留下的漏洞，通過(guò)巧妙的方法注入惡意指令代碼到網(wǎng)頁(yè)，使用戶加載并執(zhí)行攻擊者惡意制造的網(wǎng)頁(yè)程序。這些惡意網(wǎng)頁(yè)程序通常是JavaScript，但實(shí)際上也可以包括Java、VBScript、ActiveX、Flash或者甚至是普通的HTML。攻擊成功后，攻擊者可能得到包括但不限于更高的權(quán)限（如執(zhí)行一些操作）、私密網(wǎng)頁(yè)內(nèi)容、會(huì)話和cookie等各種內(nèi)容。

HTML是一種超文本標(biāo)記語(yǔ)言，通過(guò)將一些字符特殊地對(duì)待來(lái)區(qū)別文本和標(biāo)記，例如，小于符號(hào)（<）被看作是HTML標(biāo)簽的開始，<title>與</title>之間的字符是頁(yè)面的標(biāo)題等等。當(dāng)動(dòng)態(tài)頁(yè)面中插入的內(nèi)容含有這些特殊字符（如<）時(shí)，用戶瀏覽器會(huì)將其誤認(rèn)為是插入了HTML標(biāo)簽，當(dāng)這些HTML標(biāo)簽引入了一段JavaScript腳本時(shí)，這些腳本程序就將會(huì)在用戶瀏覽器中執(zhí)行。所以，當(dāng)這些特殊字符不能被動(dòng)態(tài)頁(yè)面檢查或檢查出現(xiàn)失誤時(shí)，就將會(huì)產(chǎn)生XSS漏洞。

當(dāng)然我會(huì)將標(biāo)題設(shè)計(jì)的非常吸引人點(diǎn)擊，比如“陳冠希艷照又有流出2012版(20P無(wú)碼)”，這樣如果我將里面的alert換成惡意代碼，比如：

location.>

</form>

具體操作無(wú)法一一寫出，需要你邊實(shí)踐邊摸索