[跨站腳本攻擊](https://so.csdn.net/so/search?q=%E8%B7%A8%E7%AB%99%E8%84%9A%E6%9C%AC%E6%94%BB%E5%87%BB&spm=1001.2101.3001.7020)（Cross Site Script）,本來縮寫是 CSS, 但是為了和層疊樣式表（Cascading Style Sheet, CSS）有所區分，所以安全領域叫做 “XSS”； XSS攻擊，通常是指攻擊者通過 “HTML注入”篡改了網頁，插入了惡意的腳本，從而在用戶瀏覽網頁時，對用戶的瀏覽器進行控制或者獲取用戶的敏感信息（Cookie, SessionID等）的一種攻擊方式。 頁面被注入了惡意JavaScript腳本，瀏覽器無法判斷區分這些腳本是被惡意注入的，還是正常的頁面內容，所以惡意注入Javascript腳本也擁有了所有的腳本權限。如果頁面被注入了惡意 JavaScript腳本，它可以做哪些事情呢？ 1. **可以竊取 cookie信息**。惡意 JavaScript可以通過 ”doccument.cookie“獲取cookie信息，然后通過 XMLHttpRequest或者Fetch加上CORS功能將數據發送給惡意服務器；惡意服務器拿到用戶的cookie信息之后，就可以在其他電腦上模擬用戶的登陸，然后進行轉賬操作。 2. **可以監聽用戶行為**。惡意JavaScript可以使用 "addEventListener"接口來監聽鍵盤事件，比如可以獲取用戶輸入的銀行卡等信息，又可以做很多違法的事情。 3. 可以**修改DOM**?偽造假的登陸窗口，用來欺騙用戶輸入用戶名和密碼等信息。 4. 還可以在頁面內生成浮窗廣告，這些廣告會嚴重影響用戶體驗。 XSS攻擊可以分為三類：反射型，存儲型，基于DOM型(DOM based XSS)