​ XSS，全称跨站脚本，XSS跨站脚本（Cross-Site Scripting，XSS（与css-层叠样式表冲突，所以命名为xss）），某种意义上也是一种注入攻击，是指攻击者在页面中注入恶意的脚本代码，当受害者访问该页面时，恶意代码会在其浏览器上执行，需要注意的是，XSS不仅仅扩展JavaScript，还包括flash等其他脚本语言。根据恶意代码是否存储在服务器中，XSS可以分为存储型的XSS与反射型的XSS。

​ 通过xss-lab来学习xss攻击，xss-lab是一个用于学习的平台，需要自己搭建平台

1、xss-lab平台搭建

​ 1.1 xss-lab下载地址：

​ 链接：https://pan.baidu.com/s/1sLh5suCgkNsXKbODJ1T8GA

​ 提取码：zr17

​ 1.2 搭建平台

​ 使用linux+apache+linux搭建网站，网站的搭建比较简单就不写了

2、开始学习xss攻击

​ 首先介绍一下xss-lab，xss-lab是一个用于学习xss注入的平台，使用php编写的后台代码，一共有20关，每一 关都有不同的xss注入漏洞，我们要找出漏洞，并且通过漏洞注入代码，方可以通关。

​ 虽然每一关都是不同的，但是注入的方法只有几种，不过涉及的知识点是比较多而且广泛的，大多都是与前 端相关的。xss-lab后面会涉及flash xss攻击，后面将会单独作为章节。

​ 关于涉及到的知识点，会在注入的时候提到

get型注，在url中的name字段中输入，输入的内容会在页面回显。显示内容是在html标签之间，所以采用标签注入：

弹出消息框，存在xss漏洞

查看源码：

通过get型，获得name参数，然后在注入js代码

这一关