所謂的XSS場景是觸發XSS的地方。在大多數情況下，攻擊者會插入（發布）惡意腳本（Cross Site Scripting）。這里的觸發器攻擊總是在瀏覽器端，到達攻擊者的位置。目的是獲取用戶的cookie（您可以恢復帳戶登錄狀態），導航到惡意網站，攜帶特洛伊木馬，作為肉雞發起CC攻擊，并傳播XSS蠕蟲。

整體分類分為三類：

基于Dom的（Dom風格）基于Stroed的（保留）基于反射的（反射）

舉一個簡單的場景：頁面上有一個文本框代碼，其中valuefrom是用戶的輸入。如果用戶輸入的值不是valuefrom，則可能會出現其他代碼，執行用戶輸入數據，例如輸入：“/＆gt;

這是為了顯示包含用戶cookie的提示框，如果輸入被更改：“onfocus=”alert（document.cookie）;然后它變成：

這樣，在觸發onfocus事件后，將執行js代碼。當然，攻擊者彈出提示框不會是愚蠢的。這里只是證明可以獲得數據。 hk的一般做法是將所需數據發送給自己。另一種方法是在著陸頁上嵌入一段模糊的代碼（通常在更微妙的位置，或直接在最后）：

1.點擊劫持（hjick點擊） - 非持久攻擊方法（反射XSS）:原始服務器頁面是看到上面代碼的大哥，你感到震驚：這里將是被攻擊的提示框，但你會發現這不是點擊劫持？哦，不要擔心，只要你明白這個道理，我相信你很猥瑣并想到直接添加js直接修改好的超鏈接。以下是具體方法：如果用戶輸入URL：index.php？ ID=ByteWay

當然，這里看到的URL太明顯了，我該怎么辦？只需添加urlencode（）等函數即可發揮模糊查看的作用。