XSS 全称(Cross Site Scripting) 跨站脚本攻击, 是Web程序中常见的漏洞。指攻击者在网页中嵌入客户端脚本(例如JavaScript), 当用户浏览此网页时,脚本会在用户的浏览器上执行,从而达到攻击者的目的.  比如获取用户的Cookie,导航到恶意网站,携带木马等。
  作为测试人员,需要了解XSS的原理,攻击场景,如何修复。 才能有效的防止XSS的发生。
  XSS 是如何发生的呢
  假如有下面一个textbox
  <input type="text" name="address1" value="value1from">
  value1from是来自用户的输入,如果用户不是输入value1from,而是输入 "/><script>alert(document.cookie)</script><!- 那么会变成
  <input type="text" name="address1" value=""/><script>alert(document.cookie)</script><!- ">
  嵌入的JavaScript代码将会被执行
  或者用户输入的是  "onfocus="alert(document.cookie)      那么会变成
  <input type="text" name="address1" value="" onfocus="alert(document.cookie)">
  事件被触发的时候嵌入的JavaScript代码将会被执行
  攻击的威力,取决于用户输入了什么样的脚本
  当然用户提交的数据还可以通过QueryString(放在URL中)和Cookie发送给服务器. 例如下图

  HTML Encode
  XSS之所以会发生, 是因为用户输入的数据变成了代码。 所以我们需要对用户输入的数据进行HTML Encode处理。 将其中的"中括号", “单引号”,“引号” 之类的特殊字符进行编码。

  在C#中已经提供了现成的方法,只要调用HttpUtility.HtmlEncode("string <scritp>") 可以了。  (需要引用System.Web程序集)
  Fiddler中也提供了很方便的工具, 点击Toolbar上的"TextWizard" 按钮