[每日一记3]+第11天 XSS说明

    XSS（Cross-Site Scripting，跨站脚本攻击）是指在远程WEB页面的html代码中插入恶意代码，用户误认为该页面是可信赖的，当用户打开该页面，浏览器会自动下载恶意代码，运行其中的脚本。通常跨站脚本被称为“XSS”，这是为了与样式表“CSS”进行区分所形成的习惯，所以当提到CSS或者XSS安全漏洞时，通常指的是跨站脚本攻击。

脚本注入事件属于Web安全问题范畴，它指攻击者利用Web应用系统不对用户输入数据进行严格检查和过滤的缺陷，主动通过用户输入域注入具有恶意性质的脚本片段。攻击者可以利用的用户输入域包括URL参数、表单域、Cookie域等，一般通过<Script>标签来注入脚本，或者通过其它HTML标签的属性赋值来注入脚本。这些注入的脚本片段将反射到被攻击者Web客户端并在被攻击主机的Web客户端上执行，从而达到恶意攻击目的，包括偷取客户端敏感信息、或者在用户无法觉察下发送具有恶意性质或者可能导致严重后果的HTTP请求。目前，主流浏览器支持的客户端脚本包括Javascript和VBScript。由于Javascript具有跨平台能力，并且能够对HTML页面构成的文档对象模型树进行完全访问，而VBScript只有Microsoft的IE浏览器支持，并且，对HTML页面所对应的文档对象模型树的访问能力有限，因此，目前所见的攻击注入脚本多为Javascript。