xss是什么？

xss：cross site  scripting  （区别于css）  跨站脚本攻击；运用脚本（浏览器解析运行）攻击目标网站的攻击方式。
          场景：被攻击的网站
          执行者：被攻击的网站的用户浏览器
          攻击方式：浏览器可以解析的脚本（不可信）

xss类型

反射型xss

xss攻击代码出现在url中，用户点击发送到服务端，服务端响应后浏览器解析执行。
举个例子： http://www.abcd.com?p=<script>alert('哈哈哈')</script> //p未经过滤直接提交

存储型xss

最隐蔽的xss攻击/与反射型的区别在于xss攻击代码可以存储在服务端，不必每次发送攻击代码。

DOM xss

完全属于客户端攻击，不需发送到服务端响应，浏览器就可直接解析执行。最直接的xss攻击。
 举个例子： <script>eval(location.hash.substr(1))</script>//最终浏览器解析执行：eval('alert(1)')