跨站脚本攻击

跨站脚本攻击（Cross-site scripting，XSS）是一种安全漏洞。攻击者可以利用这种漏洞在网站上注入恶意的客户端代码。当受害者运行这些恶意代码时，攻击者就可以突破网站的访问限制并冒充受害者。根据开放式 Web 应用安全项目（OWASP）的数据，XSS 是 2017 年第七名最常见的 Web 应用程序漏洞。

如果 Web 应用程序没有部署足够的安全验证，那么，这些攻击很容易成功。浏览器无法探测到这些恶意脚本是不可信的，所以，这些脚本可以任意读取 cookie、session token，或者其他敏感的网站信息，或者让恶意脚本重写 HTML 内容。

参见

攻击类型：跨站脚本（XSS）
维基百科上的跨站脚本
OWASP 上的跨站脚本（XSS）
另一个关于跨站脚本的文章