这种类型的 XSS 攻击之所以如此命名，是因为注入的代码是由浏览器的文档对象模型(DOM)接收和处理的。这意味着注入的代码永远不会在服务器端运行，因此任何服务器端的验证或编码对这种攻击都是无效的。在 addltemToStorage函数中，可以看到存在一些输入验证，但这些验证取决于一个名为gUseJavaScriptValidation的变量的值。跟随代码流，发现在第1093行，输入值作为参数传递