昨天还准备好好的思考把这个漏洞就原理给好好的在本地复现一下，再找找资料的时候，看到我认识的好多朋友都都有过简单的搭建复现例子，想着算求了，我也不本地复现搭建了，等玩XSS攻防测试的源码再贴吧。

XSS用我个人的理解就是该网页源码没有对输入输出进行过滤，导致用户输入的js代码被系统默认为网页源码并执行了，我先写个简单的反射XSS代码。

<script>alert(‘shiyan‘)</script>

这个<script></script>标签是js代码里的，就是javascript这个语言里的，alert()这个是输出的意思，把里面的字符串或者数字，输出出来。好了我个人的就写到这里吧，不杂详细，但是我对原理就是这么理解的，等搭建XSS平台这个，我再好好详细的写写，不能直接贴别人的了，毕竟我也对呢个不杂精通，知识知道大概的原理和构造，具体的编写代码，不是很会，毕竟我html和js我都是不咋会。。。

好了，下面贴一个在 freebuf 上的文章，讲解的XSS的原理和解剖的很是详细，等我自己闲的没事了，也方便我自己看，不要再翻翻找找。

print ‘先点击图片放大，然后再点击右键查看图片，在放大查看，这样就是最大化的查看，和浏览器屏幕一般大的。‘ 

原贴地址： XSS的原理分析与解剖 - FreeBuf.COM | 关注黑客与极客

XSS漏洞原理就是这么简单，但是利用的起来，却不简单，可以说是高危漏洞，如果编写关于XSS的利用方法，可以说一本书都写不完， 比如说简单的钓鱼，截取cookie，等等。

好了，这个XSS原理备忘录就这样吧。

XSS的原理分析与解剖