前端需要负大部分责任，因为如果你只是添加字符串，却使用了添加DOM的操作，这不是给XSS攻击留下机会吗。如果非要添加DOM操作，也应该对script、meta等脚本标签做过滤。至于cookie的窃取，正如老师所说，设置httpOnly就行，我总认为前端操作cookie是一种不安全的手段。

请教老师。存储型XSS是不是也可以修改DOM进行攻击。这种方式和DOM型XSS有什么区别？

跨站脚本攻击前端和后端7 3分吧。毕竟是在浏览器上面出了问题，前端怎么解释也是自己的锅。
存储型xss和反射型的xss一个原则不要信任前端的输入，任何前端的输入东西都进行编码。这个地方出了问题后端是有责任的
基于dom的xss，传输过程中被篡改，用https之后会防止全部场景吗？

基于dom的攻击，https应该能完全防护吧。

老师请教一个问题，ＣＳP是可以通过meta标签设置的，如果恶意插入的是关于CSP的meta设置呢？

前端首先要能够意识到有这个攻击的可能性，然后配合后端人员把这些漏洞修复上。其次应该加强测试方的渗透测试，重视安全。

我通过innerHTML方式插入'<script>alert("xss")<\/script>'到页面中，alert并不会执行，那么存储型和反射型的xss攻击是如何实现的呢。网上似乎也找不到相关说明

关于 CSP，可以看一下 MDN 的说明 https://developer.mozilla.org/zh-CN/docs/Web/HTTP/CSP

CSP中“限制加载其他域下的资源文件”，服务器是如何限制加载其它域下的资源的，浏览器插入一个脚本，服务器也监听不到啊？“禁止执行内联脚本和未授权的脚本；”服务器怎么禁止执行内联脚本？

比如Chrome扩展，油猴脚本这些应该算基于dom的xss么？对于基于dom的攻击，网站就没有办法了吧。