如何利用XSS漏洞注入链接及Tag页面与分类页面的

　　对电子商务网站来说，流量不是重要的，能带来转化、让你盈利的流量才是有的。以下是关于“怎样利用XSS漏洞在其它网站注入链接”及“Tag页面与分类页面的区别”介绍。

　　一、怎样利用XSS漏洞在其它网站注入链接

　　修改URL中的参数，替换为脚本，浏览器执行脚本，在HTML中插入内容，所以也可以插入链接。当然如果只是访问用户的浏览器上显示链接，搜索引擎不抓取这个URL的话，黑帽SEO也就不感兴趣了。问题就是Google蜘蛛可以抓取被注入脚本的URL，也可以执行JS，所以也就可以看到被注入的链接。

　　防止XSS攻击，一是服务器端的程序要做安全过滤，基本的是HTML转义，把<script>alert(‘XSS’)</script>当作被搜索的字符串，而不是要执行的脚本。二是浏览器端的XSS识别，现在的很多浏览器（如Chrome）看到URL中有可疑字符如script之类的，会直接拒绝打开页面。

　　如果Google蜘蛛和Google自己的Chrome浏览器一样能够识别XSS攻击，带有注入脚本的URL根本不抓取，就没有事情了。但根据Google官方文件说明，到目前为止，Google蜘蛛使用的是比较老的Chrome 41版本，而Chrome 41是没有XSS识别功能的。所以，有XSS程序漏洞的网站，有可能被Google蜘蛛抓取到被注入链接的URL。

　　二、Tag页面与分类页面的区别

　　分类页面（Category Page），也可以称为栏目页面，产品列表页等等，总之，就是网站主导航里面那些页面。

　　Tag页面和分类页面都是组织内容的分类方式，各有特点和用途。

　　分类页面一般是有从属关系的，比如本帖子是在SEO技术这个分类之下。稍大点的网站分类从属关系就更明显，分类本身就有从属，比如一双男旅游鞋可能是在这个分类结构下：

　　鞋帽–鞋–男鞋–休闲男鞋–男旅游鞋

　　上面的各个分类本身也是有从属关系的，是会体现在URL的目录结构中的。这种从属关系都是有逻辑的，在目录结构、面包屑导航等的协助下，用户可以清晰判断当前页面在网站的什么位置。

　　而tag页面没有这种从属关系，各个tag页面是并列关系，其URL也没有层级目录，通常所有tag页面的URL都是/tag/标签名称/而已。

　　分类页面一般是固定的，没有改版时不会增加或减少。Tag页面可以随时增加，尤其是有突发事件、话题时，分类系统中有“程序员”或者“互联网”甚至“马云”都是可能的，但不大可能有“996”这个分类。而标签就可以有“996”。