mXSS 或突变 XSS 是当不可信数据在 DOM 的 innerHTML 属性的上下文被处理并通过浏 览器发生突变,导致变成一种有效的 XSS 向量的一种 XSS 漏洞。在 mXSS,一个看起来 无害的可以通过客户端或服务端 XSS 过滤器的用户指定的数据通过浏览器执行引擎发生突 变可以反射回一个有效的 XSS 向量。XSS 过滤器不能防止 mXSS。为了防止 mXSS,应实 施有效的 CSP,框架应该不被允许,HTML 文档应该定义文档类型,强制浏览器遵循标准 呈现内容以及执行脚本。