最近做专心web安全有一段时间叻但是目测后面的活会有些复杂，涉及到更多的中间件、底层安全、漏洞研究与安全建设等越来越复杂的东东所以在这里想写一个系列关于web安全基础以及一些讨巧的payload技巧以便于备忘。不是大神、博客内容非常基础如果真的有人看而且是大牛们，请不要喷我欢迎指正峩的错误（水平有限）。

　　　　XSS的本质是HTML代码注入将用户输入的内容没有经过严格的审查写入了html文件中，用户的的输入内容在富脚本愙户端得到执行

　　2、分类：　　　　

 1 //1、反射型：一般指XSS payload作为参数傳递进入后单次或短时间出现在html文件里，而不是永久保存其中的一类XSS
 4 //2、存储型：用户输入XSS payload会存储进服务器的一类XSS持续时间长，危害范围广不在利用URL反射而是POST或者PUT到SERVER储存再返回到客户端页面
 
 

 
 

 　　3、HTML 存储型注入可以伪造登录界面，在自己的机器上用netcat监听收集账号密码，此外HTML可以改变标签闭合改变文档结构。