我很好奇今天是否仍然可以使用XSS。我阅读了很多有关防止浏览器阻止它的信息，但是我似乎错过了一些东西。

我尝试了几种方法，包括最简单的方法，即AJAX调用（幸运地被浏览器阻止）并查看<iframe>和<frameset>的内容，但均未成功。

我读到了有关DOM XSS的信息，但只有在主机具有一个页面并从URL参数中回显内容的情况下，该方法才有效。

题：

现代浏览器安全吗？或者有什么原因为什么我应该在离开页面之前注销使用的每项服务？

今天是否仍然可以使用XSS。


是的。


  仅当主机有一个页面可以从URL参数中回显内容时，主机才起作用。


当输出任何用户输入（立即（针对反射攻击）或稍后向另一个人输出（针对存储的攻击））时，XSS就是可能的。

相同来源策略（以及防止访问不同来源内容的相关安全功能）与XSS没有关系。


  现代浏览器安全吗


XSS是服务器提供的代码中的一个漏洞，该漏洞需要用户输入并对其执行操作。无法判断用户输入是XSS攻击还是包含实时代码的合法数据提交。它必须由服务器提供的代码处理，因为必须对上下文敏感地对待输入。