上一篇介绍了我们安装BWAPP来完成我们的漏洞测试

在BWAPP中，将HTML Injection和XSS做了非常详细的分类，那么为什么要将两个一起讲呢？归根结底，我觉得这两个分明是一个玩意，充其量是攻击的方式不一样。

我们先来介绍一下这两种漏洞的原理，简单说：当用户在输入框输入内容，后台对输入内容不做处理直接添加入页面的时候，用户就可以刻意填写HTML、JavaScript脚本来作为文本输入，这样这个页面就会出现一些用户加入的东西了。这是一种脚本注入（和CSDN发布文章时候的填写源码应该是类似的，CSDN填写源码时候可以搞些链接，假设这些链接链到恶意网站，甚至不写链接直接Script脚本？这样是不是很恐怖？）

看这个例子，下一行文字会把输入的xs打出来，那么假如我填写的是一个连接？