一、介绍

全称：跨站脚本攻击

允许恶意web用户将代码植入web网站中，供给其他用户使用，当用户访问其有恶意代码的网页就会产生xss攻击

二、危害

1.盗取各类用户账号，如机器登录账号、用户网银账号、各类管理账号

2.控制企业数据，包括读取、篡改、添加、删除企业敏感数据的能力

3.盗取企业重要的具有商业价值的资料

4.非法转帐

5.强制发送电子邮件

6.网站挂马

7.控制受害机器向其他网站攻击

总体思路是：对输入(和URL参数)进行过滤，对输出进行编码，使脚本无法在浏览器中执行

非持久化，需要目标用户自己点击连接次才能触发xss代码。

方法：发送邮件等方式，将含有xss恶意链接发送到目标用户，当目标用户访问该链接时，服务器将接受该用户的请求并进行处理，然后发送至目标用户的浏览器，浏览器解析后，会触发xss攻击。

持久性，将恶意代码存储在服务器中的数据库中，如个人信息或发表文章等地方，如果插入的数据没有过滤，用户访问该页面时就会触发该代码，造成xss攻击

是一种特殊的反射性xss，基于DOM文档对象模型的一种漏洞