作为网站的业务管理者，在欣赏自己为客户提供的丰富业务和趣味性体验时，你是否曾经想过网站会成为攻击者攻击第三方的媒介，从而导致公信度大为受损?作为一个网站的访客，你是否曾经想过在访问这个自己再熟悉不过的网站时，你的私密信息已经被他人窃取?

这些都与跨站脚本攻击有关。下面让我们详细了解这类攻击。

Q1：什么是跨站脚本?

跨站脚本(Cross-site scripting，简称XSS)，是一种迫使Web站点回显可执行代码的攻击技术，而这些可执行代码由攻击者提供、最终为用户浏览器加载。不同于大多数攻击(一般只涉及攻击者和受害者)，XSS涉及到三方，即攻击者、客户端与网站。XSS的攻击目标是为了盗取客户端的cookie或者其他网站用于识别客户端身份的敏感信息。获取到合法用户的信息后，攻击者甚至可以假冒最终用户与网站进行交互。

XSS漏洞成因是由于动态网页的Web应用对用户提交请求参数未做充分的检查过滤，允许用户在提交的数据中掺入HTML代码(最主要的是“>”、“<”)，然后未加编码地输出到第三方用户的浏览器，这些攻击者恶意提交代码会被受害用户的浏览器解释执行。

Q2：XSS缩写来源?

依照英文缩写习惯，简称跨站脚本为CSS。这样会引起它和另一个名词“层叠样式表”(Cascading Style Sheets，CSS)的混淆。此CSS非彼CSS。为了以示区别，一些安全人士就习惯将跨站脚本简称为XSS。[2]

Q3：XSS存在哪些威胁?

攻击者可以利用XSS漏洞、借助存在漏洞的Web网站攻击其他浏览相关网页的用户，窃取用户浏览会话中诸如用户名和口令(可能包含在cookie里)的敏感信息、通过插入恶意代码对用户执行挂马攻击。XSS漏洞还可能被攻击者用于网页篡改，只是多数情况为了经济利益最大化，攻击者不会直接进行篡改。

Q4：XSS漏洞的普及率有多高?

国际Web应用安全组织WASC(Web Application Security Consortium)最新数据[4]表明，采样分析了10297个网站，其中有31.47%站点存在XSS漏洞，且XSS在发现的漏洞中占到总数的41.41%，高居榜首。