存储型xss ,随便输入点内容,都能保存下来;刷新后也不会丢失;输入特殊字符,也能原样返回; 查看代码,也可以看到输出结果直接原路返回,不做处理 构造payload <script>alert(1)</script> 得到 xss 结果 而且由于是 存储型,每次刷新页面,都会弹一次窗口。