XSS攻击：跨站脚本攻击（Cross Site Scripting），是一种用javascript脚本写的攻击方式

一般测试，我们会在运行的一段代码中写入一段javascript代码，在程序运行的的时候它会显示出来：

<?php
public function index()
{
  $str = "<sctipt>alert('aa')<script>";
  $arr = 'basdjso';
  $bre = $str.$arr;
  print_r($bre);
}

这时，运行此方法，页面上不但会输出$arr的值，而且还会出现弹框，显示‘aa’字样，这样，我们就完成了一次简单的xss攻击

xss攻击一般都会危害哪些方面呢：

1.盗取账号

2.非法转账

3.篡改系统信息

4.网站挂马

此篇我们主要说一下“盗取账号”如何实现

一. 比如我们将如下代码添加到我们写的一篇博客中，那么当别的用户点击后，他的cookie信息就会被保存在这个预先设定好的txt文件中，我们就能获取到他的登录信息了，那......真的是这样吗

二. 由上图两句代码，我们延伸出以下几个问题:

  1) document.cookie得到的cookie是怎么样的

  2）index.php是怎么处理cookie值的

  3）有了cookie是怎么盗取账号的

带着疑问我们继续看：（解答）

  1）在浏览器这个地方可以看到cookie值

 或者，这样也可以

 2）经测试，上图就是比较长的那条就是登陆cookie，那我们怎么才能获取到这个数据呢，以上有记录我们把cookie保存在一个文件中，那么我们看看这个文件中有没有

我们可以看到，是没有的，那么为什么没有呢，又该怎么获取到呢

 重新访问登陆后页面，在第一条访问链接点开后，就可以获取到登录cookie了

3）为了证实是怎么盗取别人账号的，我们换个浏览器，输入登录cookie测试一下，这次换用ie浏览器

运行后发现，用户已处于登录状态，这时已完成一次盗用账号的操作了

补充：

为什么在记录cookie的文件里没有登录cookie呢