web安全——XSS跨站脚本攻击

我是一名前端新手开发者，刚学习了怎么写js脚本。我感觉我好厉害，于是我想让别人知道我的厉害，我希望能让别人在访问网站的时候自动弹窗，显示打招呼的信息。

终于我找到一个有点名气的网站，XX网。里面有发表文章的功能，发表的文章别人也能够看到。经过研究我发现如果我在发表的内容中添加一些js脚本代码，打开这篇文章也是能够执行的。

于是我迅速发表了一篇标题为《想快速致富吗，来……》，里面的内容我添加了这样一段js代码。

<script>

alert("你好，我是蛋蛋！！！");</script>

当天好多点开我文章的人都认识了我，并问候了我家好多长辈。连网站站长都联系了我，说我很有天赋，在这个小地方屈才了。我很开心，我的天赋得到了认可。 ​

没过几天我发现这个游戏玩不起来了，于是我决定继续探索。

经过研究，我发现网站的搜索功能也可以做这个事情。输入要搜索的内容，然后会跳转到一个新的搜索结果页面，我要搜索的内容会显示在地址栏，而且搜索结果页面会拿到地址栏的信息并展示出来。

就像这样，www.XX.com?search=蛋蛋，页面上会展示蛋蛋。

于是我把我之前的js代码输入到搜索栏，发现成功了。但是我要怎么让别人也能看到呢？

思考了一下，有了，我直接把这个链接发给别人不就行了。

那别人会点击吗？于是我把链接稍微包装了一下，然后用站内邮件的方式发送给了我的站内好友。他们点击了链接，就可以看到我打招呼的内容啦。

我是这么包装的。恭喜您成为XX网的幸运用户，XX网目前举办十周年网庆。点击后面的链接，领取VIP大礼包。

当天，我收到了很多站内好友的问候。

晚上我兴奋的睡不着，想着要是我的js脚本不是打招呼的内容，而是……