我又又又又回来了，继续从10大最常见的漏洞学吧

xss原理不多说（主要是现在还没有搞的很透彻）

对于利用搜索框形成xss注入这件事，除了直接使用<script>alert('xss')</script>弹窗测试，可以观察源码在前面加”>等字符来绕过，

还使用js触发事件，找出input里可以调用标签的属性，比如on事件，构造“onclick=”也可以实现这种操作，即随便找一个可以触发的属性即可.

这里安利一个很有意思的靶场http://test.ctf8.com/

绕过技巧

1.基础命令

<script>alert('xss')</script>