跨站脚本攻击

跨站脚本攻击(Cross-site scripting,XSS)是一种安全漏洞。攻击者可以利用这种漏洞在网站上注入恶意的客户端代码。当受害者运行这些恶意代码时,攻击者就可以突破网站的访问限制并冒充受害者。根据开放式 Web 应用安全项目(OWASP)的数据,XSS 是 2017 年第七名最常见的 Web 应用程序漏洞

如果 Web 应用程序没有部署足够的安全验证,那么,这些攻击很容易成功。浏览器无法探测到这些恶意脚本是不可信的,所以,这些脚本可以任意读取 cookie、session token,或者其他敏感的网站信息,或者让恶意脚本重写 HTML 内容。

参见