xss就是：让你的网站执行我的JavaScript。 xss攻击门槛低，只要掌握简单的html、js知识就可以尝试，而且几乎所有的网站均存在xss，所以备受关注。   一般检测网站是否有XSS漏洞都会使用弹窗来验证，如果能让你的网站弹窗了就说明你的网站存在XSS漏洞。那么XSS只是用来弹窗的么，显然不是的，举几个例子： 篡改页面 比如你的页面里有支付宝账号，跪求打赏的，但是我在你的页面上