摘要： xss是什么？cross site script：跨站脚本攻击XSS的危害xss payload用以完成各种具体功能的恶意脚本cookie劫持拿到cookie就可以模拟登录构造get post请求可以是异步请求，img标签，或者iframeXSS钓鱼如模拟一个假的登录框，骗取用户登录。识别用户的浏览器用于做更精准的攻击识别用户安装的软件 如检测ActiveX的classid是否存在 flash中有一个system.capabilites对象，可以得到用户电脑的信息 FF的插件信息，直接存在在dom对象中。可以轻松获得css history hack发现用户曾经访问过的网站 。 原理：利... 阅读全文