XSS

1、Xss的作用体现在哪里？

Xss产生的原因，如何避免，如何利用？

Xss注入脚本之后，会持久地显示在网页中么？如何能持久地显示，原理是什么？为什么其他用户也会受到影响。

Xss分为反射式和持久式，反射式是指破坏者针对于网址的漏洞，加上自己设计的参数，形成一个特有的链接，通过某种方式发送给用户，用户点击之后，就会中招。试想，我根据xxx.com的xss漏洞，设计一个链接，当用户访问这个链接的时候，会执行一个脚本，将当前用户的cookie发送到指定的邮箱中。

利用反射式，生成的链接会异常的长，而且掺杂了很多script语句，用户很难中招。解决方法是对其参数部分进行加密，而浏览器能够是被这种加密

持久式Xss一般是通过评论、博客等渠道注入到网站中，会对Web服务器造成影响，其他用户一旦访问到被注入了js的页面，就会中招。

xss在注入的过程中，很可能会遭到转义，这时有一些方法可以避免被转义，

'><xss a='

所有的输入就会变成

INPUT type="text" value=''>

2、如何来发掘xss漏洞？

数据交互的地方容易产生跨站脚本

3、为什么cookie设置HttpOnly可以防止Xss攻击

因为设置了HttpOnly，cookie只能由后端访问，前端脚本无法访问或操作Cookie。如何设置HttpOnly