原理:属于前端代码问题,用户的输入在前端通过echo等函数直接回显在页面上,如果用户输入的是一段Js代码,正好相应的浏览器内核可直接解析回显,那么就会导致XSS漏洞。 危害:Js代码能做的事情均属于危害范围。 漏洞产生位置:留言板、平台订单的信息填写框、App/Web用户反馈提交处…………等等等