主要是可以加载js脚本,比如留言到留言本然后管理员打开页面会加载相应的脚本获取对方的cookie等相关信息然后发送给自己,没有做后台无所谓,做了后台就要小心了,这个很不安全 详情参见此链接:或者这里有XSS关于编码的 http://netsecurity.51cto.com/art/201408/448305_all.htm 除了XSS之外还有sql注入,好多安全问题需要注意一下 另外偶然获悉三涂山就是家那边的山的名字,储存一下链接 windows下sqlmap的安装:在这里 转载请注明:稻香的博客 » XSS跨站攻击