假设hijack_cookie存在，此cookie是非http-only的，才能通过js展示

Reflected XSS

这里需要构造成一个连接让受害者点击才能变成Reflected XSS不然是Self XSS

找到遗留测试代码的路由 start.mvc#test/

遗留测试代码逻辑是将test/:param参数作为html进行展示

DOM XSS 执行webgoat.customjs.phoneHome()

可以理解DOM XSS 是一种特殊的 Reflected XSS，不经过服务器