XSS，中文名跨站脚本，经常出现在web应用程序中，原因是web应用对用户的输入过滤不足，

简单来说，这是一个网页，a把恶意脚本代码注入到网页中，当其他用户浏览时，就有可能被窃取cookie等

反射性xss

又称非持久型xss，一次性的，具体攻击步骤：

攻击者向web服务插入xss代码

web服务将其存储到数据库中

用户访问

客户端加载xss代码，并向攻击者的web服务发送信息

攻击者获得信息

存储型XSS

和反射性不同的是，存储型XSS代码直接存入到数据库中，因此可以一直存储在里面，也就是说

只要刷新，就会显示恶意代码

DOM型XSS

先说DOM，也是DOOM，DOM文档是xml文档，简单来说就是前端存储内容的东西

因此DOM型XSS最大的好处就是可以自己完成数据的输入输出，不和服务器发生交互

过滤

xss最重要的就是过滤（大概吧），为了构造恶意代码，必须要会各种绕过的方式