由于优秀的跨平台能力以及开发的方便性，手机上的HTML5应用正在变得越来越流行。手机HTML5应用使用的HTML5+JavaScript+CSS的技术来生成应用的界面，同时也使用了PhoneGap等框架来与手机的操作系统进行交互。 而HTML5+JavaScript+CSS本身具有XSS的危险，而在手机HTML5应用中，XSS的入侵途径比传统的web应用要多，二维码扫描，条形码扫描，Wi-Fi扫描，文件读取等等都有可能造成XSS。 本文提供了根据文本的XSS测试向量生成二维码、条形码、Wi-Fi热点的XSS向量的方法。使用这些方法，我批量生成了测试向量，并使用这些测试向量对手机HTML5应用进行Fuzzing测试。经过测试，发现了网络上一款手机HTML5应用是有漏洞的。本文还讨论了如何防范手机HTML5应用XSS攻击，并对有问题的应用提出了修复方案。