XSS

一、Xss的做用體如今哪裏？

Xss產生的緣由，如何避免，如何利用？
Xss注入腳本以後，會持久地顯示在網頁中麼？如何能持久地顯示，原理是什麼？爲何其餘用戶也會受到影響。

Xss分爲反射式和持久式，反射式是指破壞者針對於網址的漏洞，加上本身設計的參數，造成一個特有的連接，經過某種方式發送給用戶，用戶點擊以後，就會中招。試想，我根據xxx.com的xss漏洞，設計一個連接，當用戶訪問這個連接的時候，會執行一個腳本，將當前用戶的cookie發送到指定的郵箱中。

利用反射式，生成的連接會異常的長，並且摻雜了不少script語句，用戶很難中招。解決方法是對其參數部分進行加密，而瀏覽器可以是被這種加密

持久式Xss通常是經過評論、博客等渠道注入到網站中，會對Web服務器形成影響，其餘用戶一旦訪問到被注入了js的頁面，就會中招。

xss在注入的過程當中，極可能會遭到轉義，這時有一些方法能夠避免被轉義，
'><xss a='
全部的輸入就會變成
INPUT type="text" value=''>

二、如何來發掘xss漏洞？

數據交互的地方容易產生跨站腳本

三、爲何cookie設置HttpOnly能夠防止Xss攻擊

由於設置了HttpOnly，cookie只能由後端訪問，前端腳本沒法訪問或操做Cookie。如何設置HttpOnly