XSS长度限制

把代码写在藏别处，通过点击事件等方法加载这段XSS payload。最常用的藏代码的地方就是location.hash。location.hash里的内容不会在HTTP包中发送，所以服务器的web日志并不会记录下location.hash里的内容。

利用注释符绕过长度限制

使用base标签。base标签可以运用于页面的任何地方，且作用于之后的所有标签。通过在页面插入base标签，就可以在远程服务器伪造图片，链接或脚本，劫持页面的相对路径的标签。

对window.name赋值，没有特殊的字符限制。因为window对象时浏览器的窗体，而不是document对象。因此很多时候window对象不受同源策略的限制。可以用这个实现跨域，跨界面的传递。