2.3 XSS漏洞

XSS（Cross Site Scripting）的中文名称为跨站脚本攻击，为了和层叠样式表（Cascading Style Sheets，CSS）的缩写进行区分，故将跨站脚本攻击的英文缩写为XSS。XSS是一种在Web应用中常见的安全漏洞，它允许用户将恶意脚本植入到Web页面中，当其他用户访问此页面时，植入的恶意脚本就会在其他用户的客户端中执行。

XSS漏洞的问题很多，可以通过XSS漏洞获取客户端用户的信息，比如用户登录的Cookie信息；可以通过XSS蠕虫进行传播；可以在客户端中植入木马；可以结合其他漏洞攻击服务器，在服务器中植入木马等。

一般来说，XSS的危害性没有SQL注入的大，但是一次有效的XSS攻击可以做很多事情，比如获取Cookie、获取用户的联系人列表、截屏、劫持等。根据服务器后端代码的不同，XSS的种类也不相同，一般可以分为反射型、存储型以及和反射型相近的DOM型。漏洞危害有：窃取Cookie，键盘记录，截屏，网页挂马，命令执行。