攻击者事先在Web页面中植入恶意代码，一般是攻击链接。
当用户进入页面时，恶意代码不会自动执行，而是需要用户自己去点击链接后，反射型XSS攻击才会进行。

理论就是这么多，接下来我们举几个实例，来熟悉反射型XSS攻击的原理与恶意代码的形式。