是的，您正在查看的是反射性XSS攻击。这很危险，因为它允许攻击者劫持经过身份验证的会话。如果您在系统上运行此代码，则攻击者将能够访问其他人的帐户而无需知道其用户名/密码。

XSS漏洞也可以用来绕过CSRF保护。这是因为XSS允许攻击者使用XmlHTTPRequest读取CSRF令牌的值。XSS也可以用来欺骗引用检查。

这是手动测试xss的简单方法，在这里我打破了HTML注释以执行javascript。

http://localhost/xss_vuln.jsp?paramName='--><script>alert(document.cookie)</script><!--'

这是一个免费的xss扫描仪，您应该测试所有编写的应用程序。