在现代 Web 安全体系中，跨站脚本攻击（XSS）虽然已经是一个“老生常谈”的话题，但随着浏览器安全策略和防护手段的不断更新，XSS 的绕过技术也在持续演化。本文系统梳理了常见的 XSS 绕过思路，重点介绍了 内容安全策略（CSP）的绕过方法、混合 XSS（mXSS）的成因与利用，并结合实际案例分析其背后的实现原理。通过从机制层面理解这些绕过方式，读者不仅能够更清晰地认识 Web 安全防护的局限性，还能在攻防对抗中掌握更有效的思路。