一句话解释

XSS 是恶意脚本进入页面并在用户浏览器执行。

小白比喻

把它想成项目里的XSS标识牌：它不替你写代码，但会告诉 Codex 这里的规则、边界和风险。

第一性原理

商业系统不是只跑通一次，而是要在变化、失败、多人协作和线上压力下仍然可理解、可验证。

为什么 AI Coding 时代必须懂

AI 可以快速实现局部代码，但如果指挥官没有写清 XSS，Codex 很容易只满足当前样例，漏掉真实项目里的边界。

商业项目事故

项目没有提前定义XSS相关规则，导致上线后才发现权限、数据、性能或恢复路径不符合商业要求。

指挥 Codex 时应该怎么问

请检查这个任务中的XSS要求，列出风险、实现策略和验收标准。

任务卡里应该怎么写

在任务卡中单独写一节“XSS”，说明范围、约束、失败路径和验证方法。

验收标准怎么写

Codex 能给出与XSS相关的测试、日志、截图或配置证据，并说明未覆盖风险。