前段时间在网上看到一个网址，好奇之下进去看了看。胜利的条件是你录入一个串，让其调用prompt(1) 。发现里面有好多想不到的东西，今天终于悠闲了来这里说说XSS。

XSS 原理

跨站脚本攻击(Cross Site Scripting)，为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆，故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码，当用户浏览该页之时，嵌入其中Web里面的Script代码会被执行，从而达到恶意攻击用户的目的。

XSS 常见场景

一些私人的博客，攻击者恶意评论，弹出alert，这种充其量也就是一个玩笑。但是如果是盗窃cookie，异常提交请求，这些就比较难受了。

prompt(1)

chrome 版本 62.0.3202.75（正式版本） （64 位）