XSS又稱為CSS，全稱為Cross-site script，跨站腳本攻擊，為了和CSS層疊樣式表區(qū)分所以取名為XSS，是Web程序中常見的漏洞。

原理：

攻擊者向有 XSS 漏洞的網(wǎng)站中輸入惡意的 HTML 代碼，當(dāng)其它用戶瀏覽該網(wǎng)站時(shí)候，該段 HTML 代碼會(huì)自動(dòng)執(zhí)行，從而達(dá)到攻擊的目的，如盜取用戶的 Cookie，破壞頁面結(jié)構(gòu)，重定向到其它網(wǎng)站等。

例如：某論壇的評(píng)論功能沒有對(duì) XSS 進(jìn)行過濾，那么我們可以對(duì)其進(jìn)行評(píng)論，評(píng)論如下：

<script> while(true) {     alert('你關(guān)不掉我'); } </script>

在發(fā)布評(píng)論中含有 JS 的內(nèi)容文本，這時(shí)候如果服務(wù)器沒有過濾或轉(zhuǎn)義掉這些腳本，作為內(nèi)容發(fā)布到頁面上，其他用戶訪問這個(gè)頁面的時(shí)候就會(huì)運(yùn)行這段腳本。

這只是一個(gè)簡單的小例子，惡意著可以將上述代碼修改為惡意的代碼，就可以盜取你的 Cookie 或者其它信息了。

XSS 類型：

一般可以分為： 持久型 XSS 和非持久性 XSS

1、持久型 XSS 就是對(duì)客戶端攻擊的腳本植入到服務(wù)器上，從而導(dǎo)致每個(gè)正常訪問到的用戶都會(huì)遭到這段 XSS 腳本的攻擊。(如上述的留言評(píng)論功能)

2、非持久型 XSS 是對(duì)一個(gè)頁面的 URL 中的某個(gè)參數(shù)做文章，把精心構(gòu)造好的惡意腳本包裝在 URL 參數(shù)重，再將這個(gè) URL 發(fā)布到網(wǎng)上，騙取用戶訪問，從而進(jìn)行攻擊

非持久性 XSS 的安全威脅比較小，因?yàn)橹灰?wù)器調(diào)整業(yè)務(wù)代碼進(jìn)行過濾，黑客精心構(gòu)造的這段 URL 就會(huì)瞬間失效了，而相比之下，持久型 XSS 的攻擊影響力很大，有時(shí)候服務(wù)端需要?jiǎng)h好幾張表，查詢很多庫才能將惡意代碼的數(shù)據(jù)進(jìn)行刪除。

推薦教程：web服務(wù)器安全