XSS绕过

1、大小写、空格、回车、tab

2、进制代替

3、自动闭合

4、编码绕过

5、伪协议

6、堆叠绕过

7、利用服务端全局替换为空的特性

8、事件绕过

9、隐式数据类型转换+拼接字符串

显式转换：程序员主动调用语法去转换数据类型，语义更加明确
隐式转换：运算符两边数据类型不一致，编译器自动帮我们转换一致在计算，这是js的语法特点

隐式转换
1.转成string类型：+号两边如果有一边是字符串，则会把另一边转换成字符串，然后进行拼接
2.转成number类型：以下几种运算符会将任何数据转换成number类型再运算，如果无法转换则为NaN
  数学正号 ： +num
  当 +/-号写在一个变量名的前面，此时表示数学的正/负数
  自增自减（++ --）
  算术运算符（+ - * / %）
  比较运算符(> < >= <= == != === !==)
  说明：全等与不全等会先比较值（此时会隐式转换再比较），然后再比较数据类型
3.转成boolean类型：逻辑非（！）会将任何数据转为boolean类型再运算
4.+号有三种含义：数学正负号（转成number）、算术运算符（转成number）、字符串连接符（转成string)