挖掘到该漏洞的关键在于：目标站点的html文件里面有没有Message事件监听->如果有，就可以构造html攻击文件，用postmessage去控制目标文件中的${event.data.url}参数，从而触发xss。其实就是将有恶意js代码的各类文件（swf,pdf,svg,html.xml等）上传->访问该文件->让浏览器解析执行其中的恶意代码->触发xss->其实作用不大（水漏洞）=>①自己制