反射型 XSS 属于非持久型漏洞，恶意脚本不会存储在服务器中，而是通过 URL 参数或表单提交等方式 “反射” 回浏览器执行。这类攻击通常需要诱导用户点击特制链接，脚本仅在用户访问该页面的瞬间触发，因此也被称为 “一次性 XSS”。就像 DVWA 的 XSS 反射型页面，输入框接收用户输入的名字，提交后页面会直接显示 “Hello + 你的输入”。当我们输入正常的 “Bob” 时，页面会正常显示H