XSS全拼為Cross Site Scripting，意為跨站腳本，其縮寫原本為CSS，但這與HTML中的層疊樣式表( Cascading Style Sheets)縮寫重名了，為了區分就將跨站腳本改為了XSS。

XSS是Web應用系統最常見的安全漏洞之一，它主要源于Web應用程序對用戶輸入檢查和過濾不足。攻擊者可以利用XSS漏洞把惡意代碼( HTM代碼或JavaScript腳本)注入網站中，當有用戶瀏覽該網站時，這些惡意代碼就會被執行，從而達到攻擊的目的。

?

?

通常，在XSS攻擊中，攻擊者會通過郵件或其他方式誘使用戶點擊包含惡意代碼的鏈接，例如攻擊者通過E-mail向用戶發送一個包含惡意代碼的網站home.com，用戶點擊鏈接后，瀏覽器會在用戶毫不知情的情況下執行鏈接中包含的惡意代碼，將用戶與home.com交互的Cookie和Session等信息發送給攻擊者，攻擊者拿到這些數據之后，就會偽裝成用戶與真正的網站進行會話，從事非法活動，其過程如下圖所示。

?

?

對于XSS漏洞，最核心的防御措施就是對用戶的輸人進行檢查和過濾，包括URL、查詢關鍵字、HTTP頭、POST 數據等，僅接受指定長度范圍、格式適當、符合預期的內容，對其他不符合預期的內容一律進行過濾。 除此之外，當向HTML標簽或屬性中插人不可信數據時，要對這些數據進行相應的編碼處理。將重要的Cookie標記為http only，這樣JavaScript腳本就不能訪問這個Cookie，避免了攻擊者利用JavaScript腳本獲取Cookie。