虽然说很多网站为了避免XSS的攻击，对用户的输入都采取了过滤，但是，万事总有可能，只要有一定的条件，我们就可以构造经过编码后的语句来进行XSS注入。

这篇文章的主要目的是给专业安全测试人员提供一份跨站脚本漏洞检测指南。文章的初始内容是由RSnake提供给 OWASP，内容基于他的XSS备忘录，现在此XSS备忘录将由OWASP维护和完善它。

OWASP 的第一个防御备忘录项目：XSS (Cross Site Scripting)Prevention Cheat Sheet 灵感来源于 RSnake 的 XSS Cheat Sheet，所以我们对他给予我们的启发表示感谢。我们想要去创建短小简单的参考给开发者以便帮助他们预防 XSS漏洞，而不是简单的告诉他们需要使用复杂的方法构建应用来预防各种千奇百怪的攻击，这也是OWASP 备忘录系列诞生的原因。

XSS绕过过滤具体方法如下：

在大多数存在漏洞且不需要特定XSS攻击代码的地方插入下列代码会弹出包含“XSS”字样的对话框。使用URL编码器来对整个代码进行编码。

小技巧：如果你时间很紧想要快速检查页面，通常只要插入“<任意文本>”标签，然后观察页面输出是否明显改变了就可以判断是否存在漏洞：