谢谢大家，这篇博客我还会进一步更新的。大家有兴趣可以加入收藏 没事常来看看。

@gjc9620 好的，我会持续更新这篇博客的，如果感兴趣可以订阅我的主题，博客更新后能收到推送。 目前暂时没有把自己xss成功的一些网站发上来的原因是对被x的网站比较不利，我提交到乌云确认修复后我会更新博客的。 另外，你想x cnode的页面应该是不太可能了，这网站目前在模板层做的过滤非常彻底。

如果觉得写得还可以，麻烦大家在头条上帮忙点个赞~

@echoloyuk 现在大学里都有研究xss的课题了啊

@echoloyuk 单就xss来说，我认为实际上服务端可以不care的，因为xss毕竟是对客户端的攻击，他代码放在客户端这一层去做过滤就已经够了。毕竟能够实现xss的向量就那么些个，目前来看，ejs react这些前端模板库、类库基本都是可以封死的。

@echoloyuk 服务端过滤毕竟还是要损耗性能的，这件事本没必要一定放在服务端去做。不像sql注入。

@Chunlin-Li 现在还是一样504吗

@Chunlin-Li 请问您是在什么地区访问的呢？ 方便的话提供个ip地址，我与云服务技术支持那边沟通下。

@Chunlin-Li 你是用的什么浏览器呢? 是不是在userAgent里边自己改东西了？ 我的网站做了些野爬过滤机制，如果userAgent和ip地址对应不上，可能会导致你出现的504

@klausgao express框架 如果你指的是tj写的那个2w多颗星的express， 这框架本身跟存储层面没啥直接关系吧。他只是对web中间件这一级做了些封装， 如果说express对xss方面所做的过滤，那就应该是在ejs模板层对危险的 “<” 和 “>” 做了转码。 挺安全的，至少我没发现目前最新版的ejs有啥xss洞。

@Chunlin-Li 我检查了一下你的UA，似乎你是一台linux操作系统？ 你的ua我这边的浏览器环境嗅探模块不能识别，所以被判定为了爬虫程序了。 能提供下系统方面的信息吗

@Chunlin-Li linux下的chrome安装个User-Agent Switcher 插件， 把UA换成windows或者mac平台的chrome的UA 就好了

@CnMonkey 你是linux系统吗？

@CooperSharly 由于版权问题，对PhantomJs爬虫的策略是拒绝。