小迪day27打卡，今天讲了xss的httponly相关的知识以及演示做了xss-labs。
如果在cookie中设置httponly，那么就无法通过JS脚本获取到cookie的信息，这样就可以有效地防止xss攻击。有绕过httponly的一些姿势：
如果浏览器没有保存本地的密码，可以使用表单劫持。
如果浏览器已经保存了密码到本地，那么可以在xss平台上配置明文密码，只要管理员访问了对应的xss网址，就能获取到账号密码。
演示xss-labs：其实这个我之前也做过，学习到了很多骚知识，有些现在也忘了，果然要多看多记。
htmlspecialchars（）：这个函数会将特殊的字符转换为html实体编码。
有时我们可以提前闭合语句来绕过，在后面的语句不屏蔽也行，只是语法上会有错误，但是还是会执行。
input标签内可以使用onclick来触发指定的事件。
‘'><a href='javascript:alert(1);'>
可以使用大小写，重复书写，HTML实体编码绕过等等。
这个闯关让人最印象深刻的就是他的后面关卡注入点的位置。。。。。需要找到可以注入的隐藏的属性。
检查来源是否同一域名可以有效防止xss的攻击。