xss危害
(1)网络钓鱼,包括盗取各类用户账号;
(2)窃取用户cookies资料,从而获取用户隐私信息,或利用用户身份进一步对网站执行操作;
(3)劫持用户(浏览器)会话,从而执行任意操作,例如进行非法转账、强制发表日志、发送电子邮件等;
(4)强制弹出广告页面、刷流量等;
(5)网页挂马;
(6)进行恶意操作,例如任意篡改页面信息、删除文章等;
(7)进行大量的客户端攻击,如DDoS攻击;
(8)获取客户端信息,例如用户的浏览历史、真实IP、开放端口等;
(9)控制受害者机器向其他网站发起攻击;
(10)结合其他漏洞,如CSRF漏洞,实施进一步作恶;
(11)提升用户权限,包括进一步渗透网站;
(12)传播跨站脚本蠕虫等;
xss宽字节 : 网页编码为gbk 对输入参数进行了addcslashes() 操作再输出到页面,因此可以用%df进行宽字节绕过
xss反斜线:原:location.href="........."+"&ss=aaaa"+"&from=bbb"+"¶m=";
更改后:location.href="........."+"&ss=aaaa"+"&from==1;function/**/from(){}//"+"¶m=";
xss换行:%0a 利用点:当输出在注释里时
javÚscript 	 
 都可以,这些属于空白符,但只能放在jav后面,因为&#x原本的字符加上a 后被看作整体进行解析 Ú š ª 都会被当做字符a
xsscheatsheet https://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet
中文翻译版 https://www.zybuluo.com/laodao/note/9592
xsscheatsheet先知 https://xz.aliyun.com/t/1126h