舉個例子

Demo1 - 你好

在瀏覽器輸入：http://testxss.com/xss/demo1.html?search=你好

頁面效果如下所示：

demo1.html的代碼如下所示：

<head>
  <meta charset="utf-8">
  <meta name="viewport" content="width=device-width, initial-scale=1.0" />
  <title>demo1</title>
</head>
<body>
  <div id="demo1"></div>
  <script>
      window.onload = function () {
          var demo1 = document.getElementById('demo1')
          const queryStr = location.search.substring(8)
          demo1.innerHTML = decodeURIComponent(queryStr)
      }
  </script>
</body>

你們知道這裏會有什麼問題嗎？會有xss漏洞嗎？

沒錯，這裏是存在xss漏洞的。

怎麼驗證？

詳情請查看： 再談XSS攻擊的例子