一、XSS课程大概介绍

二、XSS的攻击方式

反射型：发出请求时，XSS代码出现在url中，作为输入提交到服务器端，服务端解析后响应，XSS代码随响应内容一起传回给浏览器，最后浏览器解析执行XSS代码。这个过程像一次反射，故叫反射型XSS。

存储型：存储型XSS和反射型XSS的差别在于，提交代码会存储在服务器端（数据库、内存、文件系统等），下次请求目标页面时不同再提交XSS代码。    

三、XSS的防范措施概述

编码：对用户输入的数据进行HTML Entity编码

过滤：移除用户上传的DOM属性，上传的style节点，script节点，iframe节点等

校正：避免直接对HTMl Entity解码，使用DOM Parse转换，校正不配对的DOM标签

 四、XSS实战

4-1.对用户输入的内容进行HTML Entity编码   

4-2.js实现ajax前后台数据交互，DOM Parse解析校正

4-3.对标签进行过滤

五、课程总结