一、 XSS打类型

XSS打基本上分为三种类型：反射型XSS、存储型XSS和DOM型XSS。

1. 反射型XSS打者通过构造恶意URL， 将恶意脚本作为参数传递给服务器，服务器返回后脚本被施行。这类打一般发生在搜索框、URL参数等地方。

   

2. 存储型XSS打者将恶意脚本存储在服务器端， 当其他用户访问包含恶意脚本的页面时脚本会被施行。这种打对用户的危害更巨大，基本上原因是它是持久存在的。

3. DOM型XSS打者通过修改页面的DOM结构或JavaScript代码的行为，使得恶意代码在客户端施行。

二、XSS漏洞的根本原因

XSS漏洞的根本原因通常是对用户输入缺乏适当的验证和过滤。

1. 对外部数据的相信， 特别是在收下URL参数、HTTP求头等外部数据时未进行严格的验证。
2. 没有用合适的平安策略， 比方说Content Security Policy，别让恶意脚本的施行。

三、 别让XSS打的防着手段

针对XSS跨站脚本漏洞，

1. 输入验证与过滤对全部来自用户的输入进行严格的验证和过滤，用白名单策略，只允许符合特定规则的输入。对于HTML输入，得过滤掉如`

---