XSS

Xss产生的原因，如何避免，如何利用？
Xss注入脚本之后，会持久地显示在网页中么？如何能持久地显示，原理是什么？为什么其他用户也会受到影响。

Xss分为反射式和持久式，反射式是指破坏者针对于网址的漏洞，加上自己设计的参数，形成一个特有的链接，通过某种方式发送给用户，用户点击之后，就会中招。试想，我根据xxx.com的xss漏洞，设计一个链接，当用户访问这个链接的时候，会执行一个脚本，将当前用户的cookie发送到指定的邮箱中。

利用反射式，生成的链接会异常的长，而且掺杂了很多script语句，用户很难中招。解决方法是对其参数部分进行加密，而浏览器能够是被这种加密

持久式Xss一般是通过评论、博客等渠道注入到网站中，会对Web服务器造成影响，其他用户一旦访问到被注入了js的页面，就会中招。

xss在注入的过程中，很可能会遭到转义，这时有一些方法可以避免被转义，
'><xss a='
所有的输入就会变成
INPUT type="text" value=''>

数据交互的地方容易产生跨站脚本

因为设置了HttpOnly，cookie只能由后端访问，前端脚本无法访问或操作Cookie。如何设置HttpOnly