跨站脚本是指在远程WEB页面(Web应用程序的服务端)的html代码中插入的具有恶意目的的数据(脚本),用户认为该页面是可信赖的,但是当浏览器访问该页面时,嵌入其中的脚本将被解释执行。
跨站脚本(Cross-Site-Script,XSS)是由于Web应用程序对用户的输入过滤不足而产生的,攻击者利用网站漏洞把恶意的脚本代码(通常包括HTML代码和客户端Javascript脚本)注入到网页之中,当其他用户浏览这些网页时,就会执行其中的恶意代码,对受害者用户可能采取Cookie资料窃取、会话劫持、钓鱼欺诈等各种攻击。
攻击者一般通过留言、电子邮件或其他途径向受害者发送一个精心构造的恶意URL(该URL中的网页已经被攻击者注入了恶意脚本),当受害者在Web浏览器中打开该URL访问其中网页的时候,恶意脚本会在受害者的计算机上悄悄执行。
待续……