1. 什麼是跨站網路攻擊

跨站指令碼攻擊（簡稱為XSS）是指惡意攻擊者在Web頁面中插入惡意javascript程式碼（也可能包含html程式碼），當用戶瀏覽網頁之時，嵌入其中Web裡面的javascript程式碼會被執行，從而達到惡意攻擊使用者的目的。

XSS漏洞通常是通過輸出函式將javascript程式碼輸出到html頁面中，通過使用者本地瀏覽器執行的，所以xss漏洞關鍵就是尋找引數未過濾的輸出函式。

XSS跨站指令碼，是一種Web安全漏洞，他並不像SQL注入等攻擊手段攻擊服務端，本身對Web伺服器沒有危害，攻擊的物件是客戶端，使用瀏覽器訪問這些惡意地址的網民。

2. XSS 危害

1. 網路釣魚，包括盜取各類使用者賬號
2. 竊取使用者cookies資料，從而獲取使用者隱私資訊，或利用使用者身份進一步對網站執行操作
3. 劫持使用者（瀏覽器）會話，從而執行任意操作，例如進行非法轉賬、強制發表日誌、傳送電子郵件等
4. 強制彈出廣告頁面、刷流量等
5. 網頁掛馬
   
   
   
   

3. XSS 原理

HTML是一種超文字標記語言，通過將一些字元特殊地對待來區別文字和標記，例如，小於符號（<）被看作是HTML標籤的開始，之間的字元是頁面的標題等等。

當動態頁面中插入的內容含有這些特殊字元（如<）時，使用者瀏覽器會將其誤認為是插入了HTML標籤，當這些HTML標籤引入了一段JavaScript指令碼時，這些指令碼程式就將會在使用者瀏覽器中執行。

所以，當這些特殊字元不能被動態頁面檢查或檢查出現失誤時，就將會產生XSS漏洞。