后端接收用户输入数据后，直接拼接至 HTML 页面源码渲染，浏览器无法区分正常页面代码与攻击者插入的恶意 JavaScript，将恶意脚本当做页面原生代码执行，从而突破同源策略限制操控客户端页面。其他用户访问留言页面时，页面自动加载攻击者地址，浏览器 Cookie 自动发送至攻击者服务器，打开cookie.txt即可拿到会话凭证，可直接拼接 Cookie 登录目标用户账号。DOM 型 XSS：完全