跨網站腳本

XSS攻擊通常指的是通過利用網頁開發時留下的漏洞，通過巧妙的方法注入惡意指令代碼到網頁，使用户加載並執行攻擊者惡意製造的網頁程序。這些惡意網頁程序通常是JavaScript，但實際上也可以包括Java，VBScript，ActiveX，Flash或者甚至是普通的HTML。攻擊成功後，攻擊者可能得到更高的權限（如執行一些操作）、私密網頁內容、會話和cookie等各種內容。

當網景（Netscape）最初推出JavaScript語言時，他們也察覺到准許網頁服務器發送可執行的代碼給一個瀏覽器的安全風險（即使僅是在一個瀏覽器的沙盒裏）。它所造成的一個關鍵的問題在於用户同時打開多個瀏覽器視窗時，在某些例子裏，網頁裏的片斷代碼被允許從另一個網頁或對象取出數據，而因為惡意的網站可以用這個方法來嘗試竊取機密信息，所以在某些情形，這應是完全被禁止的。為了解決這個問題，瀏覽器採用了同源決策——僅允許來自相同域名系統和使用相同協議的對象與網頁之間的任何交互。這樣一來，惡意的網站便無法藉由JavaScript在另一個瀏覽器竊取機密數據。此後，為了保護用户免受惡意的危害，其他的瀏覽器與伺服端指令語言採用了類似的訪問控制決策。

XSS漏洞可以追溯到1990年代。大量的網站曾遭受XSS漏洞攻擊或被發現此類漏洞，如Twitter，Facebook，MySpace，Orkut,新浪微博和百度貼吧。研究表明，最近幾年XSS已經超過緩衝區溢出成為最流行的攻擊方式，有68%的網站可能遭受此類攻擊。根據開放網頁應用安全計劃（Open Web Application Security Project）公佈的2010年統計數據，在Web安全威脅前10位中，XSS排名第2，僅次於代碼注入（Injection）。

Cross-site scripting的英文首字母縮寫本應為CSS，但因為CSS在網頁設計領域已經被廣泛指層疊樣式表（Cascading Style Sheets），所以將Cross（意為“交叉”）改以交叉形的X做為縮寫。但早期的文件還是會使用CSS表示Cross-site scripting。

通常有一些方式可以測試網站是否有正確處理特殊字符：

攻擊者使被攻擊者在瀏覽器中執行腳本後，如果需要收集來自被攻擊者的數據（如cookie或其他敏感信息），可以自行架設一個網站，讓被攻擊者通過JavaScript等方式把收集好的數據作為參數提交，隨後以數據庫等形式記錄在攻擊者自己的服務器上。

常用的XSS攻擊手段和目的有：

避免XSS的方法之一主要是將用户所提供的內容進行過濾，許多語言都有提供對HTML的過濾：

很多時候可以使用HTTP頭指定內容的類型，使得輸出的內容避免被作為HTML解析。如在PHP語言中使用以下代碼：

<?php header('Content-Type: text/javascript; charset=utf-8'); ?>

即可強行指定輸出內容為文本/JavaScript腳本（順便指定了內容編碼），而非可以引發攻擊的HTML。

包括Internet Explorer、Mozilla Firefox在內的大多數瀏覽器皆有關閉JavaScript的選項，但關閉功能並非是最好的方法，因為許多網站都需要使用JavaScript語言才能正常運作。通常來説，一個經常有安全更新推出的瀏覽器，在使用上會比很久都沒有更新的瀏覽器更為安全。 ^[1]