XSS绕过技术
Cross-SiteScripting （ XSS ）是一类出现在 web 应用程序上的安全弱点，攻击者可以通过 XSS 插入一些代码，使得访问页面的其他用户都可以看到， XSS 通常是可以被看作漏洞的。它允许攻击者绕过安全机制，通过尝试各种不同的方法插入恶意代码，攻击者可以得到敏感页面的权限，会话， cookies ，或者其他的东西， XSS 分为三类
XSS 分类：
非持久性，持久性和基于 Dom （此类可以是持久的，也可以是不持久的）
1.非持久性 : 非持久性 XSS 也被称为反射性 XSS ，是目前最普遍的类型，当攻击者提供了一些代码的时候，服务器端马上就会返回页面的执行结果。举个例子，就比如某个网页上的 搜索引擎 ，如果攻击者搜索的字符串包含了一些 html 标签，通常来说，搜索的结果就会以该形式显示出来，或者，至少，搜索的字符串会包含在页面里。而这个我们是可以修改的，如果任何搜索的字符串都没有被 html 编码， XSS 漏洞就产生了。
2.持久性 XSS: 也叫做存储型 XSS ，或是二次漏洞，他能够导致更加有效的攻击。当攻击者提交到 web 应用程序里的数据会永久性的存储到服务器的时候会产生这类漏洞， ( 比如数据库，文件系统，其他位置 ) ，之后，如果没有经过 HTML 编码，那么每一个访问该页面的用户都会被攻击，典型的例子就是在线留言板，它允许用户提交数据。
3.基于 DOM 的 XSS: 也叫做本地跨站，基于 html/xml 上叫做文档对象模型 (DOM) 的标准对象模型，这类漏洞，问题出现在页面的客户端脚本上，比如，如果一个 javascript 脚本处理 url 请求参数，然后使用这个参数值来显示给用户页面，没有经过任何编码，那么 XSS 漏洞产生，和非持久的类似，攻击者可以用恶意代码填充这个参数，然后覆写的页面诱骗用户点击，然后就会被浏览器解析成 html ，包含了恶意的脚本代码。
等等。。。