结论：

　　从而你应该了解到这些网站应该具有的性质：

　　极高的访问量，有会员，有管理员，有具有价值的帐号密码，或者有意义进行特殊效果的实现。

　　如果你读过《Ajax Hacking with XSS》，你应该知道XSS至少包含input XSS和textarea XSS等七种方式。

　　其中url XSS属于input XSS，这些漏洞大部分属于保留式的XSS，而textarea XSS等一般属于不保留XSS。

　　这意味着正常访问一个页面是不会触发保留式的XSS的，尽管这是大部分网站具有的漏洞，其中搜索部分又称搜索式XSS漏洞。

　　所以当你获取了一个input XSS，你仅仅alert出一个小框框。你跟别人大吹大擂，你发现了一个漏洞，并且你可以alert一个框框给他看，但是事实上你什么都做不了。即使你能挂些小木马，那也是很没意义的事情——因为你莫不如直接在自己的虚拟主机里做XSS页面发给别人。

　　这个跟sql注入不同，XSS毕竟是客户端的东西。sql注入的目的往往是为了得到目标系统的权限，并且sql语句本身执行的就是服务端的指令;但 XSS一般却是为了获得客户端的东西，执行的也是客户端的指令。所以他们可以“'”一下“出错了”而大喊，你却不能因为“alert”出了“xss窗口” 而乱叫。

　　否则只会让别人笑话!