這篇文章的主要目的是給專業(yè)安全測試人員提供一份跨站腳本漏洞檢測指南。文章的初始內(nèi)容是由RSnake提供給 OWASP，內(nèi)容基于他的XSS備忘錄:http://ha./xss.html。目前這個(gè)網(wǎng)頁已經(jīng)重定向到OWASP網(wǎng)站，將由OWASP維護(hù)和完善它。OWASP 的第一個(gè)防御備忘錄項(xiàng)目：XSS (Cross Site Scripting)Prevention Cheat Sheet 靈感來源于 RSnake 的 XSS Cheat Sheet，所以我們對(duì)他給予我們的啟發(fā)表示感謝。我們想要去創(chuàng)建短小簡單的參考給開發(fā)者以便幫助他們預(yù)防 XSS漏洞，而不是簡單的告訴他們需要使用復(fù)雜的方法構(gòu)建應(yīng)用來預(yù)防各種千奇百怪的攻擊，這也是OWASP 備忘錄系列誕生的原因。

這份備忘錄是為那些已經(jīng)理解XSS攻擊，但是想要了解關(guān)于繞過過濾器方法之間細(xì)微差別的人準(zhǔn)備的。

請(qǐng)注意大部分的跨站腳本攻擊向量已經(jīng)在其代碼下方給出的瀏覽器列表中進(jìn)行測試。

在大多數(shù)存在漏洞且不需要特定XSS攻擊代碼的地方插入下列代碼會(huì)彈出包含“XSS”字樣的對(duì)話框。使用URL編碼器來對(duì)整個(gè)代碼進(jìn)行編碼。小技巧：如果你時(shí)間很緊想要快速檢查頁面，通常只要插入“<任意文本>”標(biāo)簽，然后觀察頁面輸出是否明顯改變了就可以判斷是否存在漏洞：