目录介绍：

• 1、如何测试XSS漏洞
• 2、xss已经禁用仍打不开页面
• 3、如何在浏览器启用XSS筛选器

如何测试XSS漏洞

XSS跨站漏洞分为大致三种：储存型XSS，反射型XSS，和DOM型XSS，一般都是由于网站对用户输入的参数过滤不严格而调用浏览器的JS而产生的。XSS几乎每个网站都存在，google，百度，360等都存在，存在和危害范围广，危害安全性大。

具体利用的话：

储存型XSS，一般是构造一个比如说"scriptalert("XSS")/script"的JS的弹窗代码进行测试，看是否提交后在页面弹窗，这种储存型XSS是被写入到页面当中的，如果管理员不处理，那么将永久存在，这种XSS攻击者可以通过留言等提交方式，把恶意代码植入到服务器网站上， 一般用于盗取COOKIE获取管理员的信息和权限。

反射型XSS，一般是在浏览器的输入栏也就是urlget请求那里输入XSS代码，例如：127.0.0.1/admin.php?key="scriptalert("xss")/script，也是弹窗JS代码。当攻击者发送一个带有XSS代码的url参数给受害者，那么受害者可能会使自己的cookie被盗取或者“弹框“，这种XSS一次性使用，危害比储存型要小很多。

dom型：常用于挖掘，是因为api代码审计不严所产生的，这种dom的XSS弹窗可利用和危害性并不是很大，大多用于钓鱼。比起存储型和反射型，DOM型并不常用。

缺点：

1、耗时间

2、有一定几率不成功

3、没有相应的软件来完成自动化攻击

4、前期需要基本的html、js功底，后期需要扎实的html、js、actionscript2/3.0等语言的功底

5、是一种被动的攻击手法

6、对website有http-only、crossdomian.xml没有用

所以楼主如果想更加深层次的学习XSS的话，最好有扎实的前后端开发基础，还要学会代码审计等等。

推荐的话，书籍建议看看《白帽子讲web安全》，《XSS跨站脚本攻击剖析与防御》

一般配合的话，kalilinux里面的BEFF是个很著名的XSS漏洞利用工具，楼主有兴趣可以去看看。

纯手工打字，望楼主采纳。

xss已经禁用仍打不开页面

计算机的浏览器无法打开网页，这意味着可能有几个问题。

第一个问题是最简单的。可能你的电脑没有连接到互联网。走到电脑的右下角，看看它是否已连接。如果计算机正在使用无线网络，请查看计算机屏幕右下角是否有一个小的无线信号图标。看连接是否正常。

第二个问题可能是您的浏览器设置。你看你的浏览器，输入一个百度地址，点击回车，看看能不能发出去。

换句话说，我们经常测试浏览器是否能打开一个网页地址，也就是百度的主页。百度网.如果百度的网页不出来。这意味着您的浏览器可能需要重新安装。如果你连试都试不到。嗯，我在考虑你的电脑是否可以重新启动并重新连接到网络。如果那不起作用。我们建议您找专业的电脑维护人员，或者找您的网络运营商。

如何在浏览器启用XSS筛选器

工具：

浏览器

方法如下：

1、打开浏览器，在最上面菜单栏点击【工具】。

2、在工具弹出的下拉框中点击【Internal选项】。

3、在Internal属性中，选择【安全设置】，在安全设置中点下方【自定义级别】。

4、最后，在大约中间位置，点击启用XSS筛选器，确定即可。