XSS第一节，XSS档案

名称：XSS

全命：Cross-site scripting

为什么不是CSS? 因为CSS在网页设计领域已经被广泛指层叠样式表（Cascading Style Sheets），所以将Cross改以发音相近的X做为缩写。

江湖排名：2013年的OWASP(Open Web Application Security Project，官网https://www.owasp.org/)中排名第三。

简述：跨网站脚本（Cross-site scripting，通常简称为XSS或跨站脚本或跨站脚本攻击）是一种网站应用程序的安全漏洞攻击，是代码注入的一种。它允许恶意用户将代码注入到网页上，其他用户在观看网页时就会受到影响。这类攻击通常包含了HTML以及用户端脚本语言。

危害(包含但不限于)：

一、盗取各类用户帐号，如机器登录帐号、用户网银帐号、各类管理员帐号；

二、控制企业数据，包括读取、篡改、添加、删除企业敏感数据的能力；

三、盗窃企业重要的具有商业价值的资料；

四、非法转账；

五、强制发送电子邮件；

六、网站挂马；

七、控制受害者机器向其它网站发起攻击；

 

        这些危害中，前四点主要是利用盗取cookie信息，来达到冒充被攻击者的，预防的办法就是登录网站后，尤其是和钱相关的网站，不同时打开其他的网站，完成交易后，立即退出登录，之后再浏览其他的网站。后面三点，主要是利用小网站来实现，所以，预防的办法是只上知名的大网站，对于安全性未知的小网站要格外留心。