XSS，中文名稱為跨站腳本，是一種很常見的腳本漏洞。因為跨站腳本攻擊不能直接對系統進行攻擊，所以往往被人們忽視。

由于WEB應用程序沒有對用戶的輸入進行嚴格的過濾和轉換，就導致在返回

頁面中可能嵌入惡意代碼。遠程攻擊者可以利用這些漏洞在用戶瀏覽器會話中執(zhí)行任意HTML和腳本代碼?？缯灸_本執(zhí)行漏洞的攻擊效果需要借助第三方網站來顯現，因此這種攻擊能在一定程度上隱藏身份。

由于跨站腳本不能直接對系統進行攻擊，所以跨站腳本總是伴隨社會工程學來實現攻擊的，這種攻擊的主要表現形式是釣魚式攻擊。釣魚式攻擊方式有很多，比如獲取Cookie, 偽造頁面,屏蔽頁面特定信息,與其它漏洞結合攻擊操作系統等等。釣魚式攻擊是針對人腦的攻擊方式，它的傳播手段有EMAIL、IM、聊天室、惡意連接、游戲中的聊天系統，凡是能實現用戶之間互動操作的系統都存在釣魚式攻擊的風險。

在電子商務蓬勃發(fā)展的今天，針對個人財務信息的釣魚攻擊事件數量成直線上升，其中一個主要攻擊途徑就是跨站腳本執(zhí)行漏洞。據統計，國內外存在跨站腳本漏洞的網站多達60%, 其中包括許多大型知名網站。

針對于XSS攻擊如此頻繁,危害之大,南昌網絡公司百恒網絡提供的實用的解決方案:

對這些存在安全隱患進行過濾或嚴格限制 "<"、">"、 "javascript:"、"jscript:"、 "vbscript:"、"&"、""、"onerror"、" "、'CHR(34)、'CHR(39)、"'"。

希望對廣大站長或網站建設公司有所幫助，如對此不太理解的，可以與南昌網絡公司百恒網絡技術部聯系。