确实不懂……不太理解。

我看网上描述跨站攻击，是说用户会把类似于<script>...</script>的脚本，输入到form
input或AJAX请求里面，或者在 www.myServer.com 后面加上非法的query string。

如果不是肉鸡，只是普通用户自己操作，怎么会把这些恶意的字符串放在input/AJAX请求
或者query string里面呢？

【 在 vonNeumann (劣币驱逐良币 | 少灌水) 的大作中提到: 】
: XSS 跟肉鸡有什么关系？
: XSS 的受害者不是“已经被劫持的用户”，是任何使用浏览器正常打开的你的网页的用
户
: 一个网站能被 XSS，比能被 CSRF 更不可饶恕。
--
FROM 106.120.93.*