1、DOM型xss和别的xss最大的区别就是它不经过服务器，仅仅是通过网页本身的JavaScript进行渲染触发的 [出自:jiwo.org]

DOM型&反射型XSS漏洞的利用场景

两者的攻击方式没有什么不同，都是通过电子邮件等方式发送这个含有我们构造的payload的URL给目标用户，当目标用户访可该链接时，服务器接收该目标用户的请求并进行处理，然后服务器把带有XSS代码的数据发送给目标用户的测览器，浏览器解析这段帯有XSS代码的恶意脚本后，就会触发XSS漏洞，一般用于获取对方cookies值

xss防御方法

1. 过滤输入的数据，包括  ‘ 、“、<、>、on* 等非法字符

2. 对输出到页面的数据进行相应的编码转换，包括HTML实体编码、属性以及URL请求参数

3. 设置cookie的HttpOnly属性