XSS 简介

人们经常将跨站脚本攻击（Cross Site Scripting）缩写为CSS，但这会与层叠样式表（Cascading Style Sheets，CSS）的缩写混淆。因此，有人将跨站脚本攻击缩写为XSS。

跨站脚本攻击（XSS），是最普遍的Web应用安全漏洞。这类漏洞能够使得攻击者嵌入恶意脚本代码到正常用户会访问到的页面中，当正常用户访问该页面时，则可导致嵌入的恶意脚本代码的执行，从而达到恶意攻击用户的目的。

攻击者可以使用户在浏览器中执行其预定义的恶意脚本，其导致的危害可想而知，如劫持用户会话，插入恶意内容、重定向用户、使用恶意软件劫持用户浏览器、繁殖XSS蠕虫，甚至破坏网站、修改路由器配置信息等。

XSS 危害

1.网络钓鱼，包括盗取各类用户账号；

2.窃取用户cookies资料，从而获取用户隐私信息，或利用用户身份进一步对网站执行操作；

3.劫持用户（浏览器）会话，从而执行任意操作，例如进行非法转账、强制发表日志、发送电子邮件等；

4.强制弹出广告页面、刷流量等；

5.网页挂马；

6.进行恶意操作，例如任意篡改页面信息、删除文章等；

7.进行大量的客户端攻击，如DDoS攻击；

8.结合其他漏洞，如CSRF漏洞，实施进一步作恶；

9.传播跨站脚本蠕虫等。

盗取各类用户帐号权限(控制所盗窃权限数据内容)，如机器登录帐号、用户网银帐号、各类管理员帐号控制企业数据，包括读取、篡改、添加、删除企业敏感数据的能力基于XSS的跨站业务请求(如：非法转账、非法下单、非法转载/发表内容、发送电子邮件、利用管理员身份提权挂马、控制受害者机器向其它网站发起攻击等)形成持久化APT攻击，长期控制网站业务中枢利用跨站业务形成蠕虫病毒式传播劫持网站，劫持后可用于钓鱼、伪装、跳转、挂广告等，属挂马类型

XSS跨站脚本，是一种Web安全漏洞，有趣是是他并不像SQL注入等攻击手段攻击服务端，本身对Web服务器没有危害，攻击的对象是客户端，使用浏览器访问这些恶意地址的网民。

XSS 原理

HTML是一种超文本标记语言，通过将一些字符特殊地对待来区别文本和标记，例如，小于符号（<）被看作是HTML标签的开始，<title>与</title>之间的字符是页面的标题等等。当动态页面中插入的内容含有这些特殊字符（如<）时，用户浏览器会将其误认为是插入了HTML标签，当这些HTML标签引入了一段JavaScript脚本时，这些脚本程序就将会在用户浏览器中执行。所以，当这些特殊字符不能被动态页面检查或检查出现失误时，就将会产生XSS漏洞。

主要的攻击是在HTML中加入了JavaScript脚本，这个脚本可能会写一些发起攻击的代码。

标签中，或者标签的属性中都可以加入脚本。详情看下面《XSS的原理分析与解剖》博文说明。

XSS攻击：xss就是在页面执行你想要的js，只要能允许JS，就能获取cookie（设置http-only除外），就能发起一些事件操作等。

注：评论内容摘要

1、chrome内核与ie内核不一样，chrome的过滤机制比ie强。现在测试xss一般都拿能过chrome的为主

2、现在的chrome浏览器默认开启了xss过滤机制，可以通过关闭该机制来进行xss测试，方法如下： windows下，右键桌面中的"Google Chrome"快捷键，然后在目标选项，chrome.exe后面加上参数:--args --disable-xss-auditor即可。

XSS 的本质是：恶意代码未经过滤，与网站正常的代码混在一起；浏览器无法分辨哪些脚本是可信的，导致恶意脚本被执行。