跨站腳本攻擊簡稱XSS，或許很多程序員編寫代碼的時(shí)候沒有意識(shí)到這種攻擊，也沒有做相應(yīng)的防范，然而可能出于幸運(yùn)，網(wǎng)站安然無恙，沒有人對(duì)網(wǎng)站進(jìn)行破壞行為，然而，當(dāng)網(wǎng)站逐漸做大，訪問的用戶越來越多，越來越多的黑客關(guān)注你的網(wǎng)站，越來越多的競爭對(duì)手覬覦你的網(wǎng)站，那么你的網(wǎng)站要免受攻擊幾乎是不可能的，唯一的解決辦法就是熟悉這種攻擊方法，然后做相應(yīng)的防范工作。

    XSS一般可以實(shí)現(xiàn)以下兩種方法實(shí)現(xiàn)：

    1、通過用戶將惡意的腳本命令輸入到接收“不干凈”用戶輸入的網(wǎng)站中；
    2、通過直接在頁面上顯示用戶的輸入。

    第一種情況稱作“被動(dòng)注入”（PAssive Injection）。在被動(dòng)注入中，用戶將“不干凈”的內(nèi)容輸入到文本框中并將其保存到數(shù)據(jù)庫，以后再重新在頁面上顯示。第二種方法稱作“主動(dòng)注入”(Active Injection)，涉及的用戶將“不干凈”的內(nèi)容輸入到文本框中并將輸入的內(nèi)容立刻在頁面顯示出來，這兩種方式都是非常邪惡的，破壞力可以很強(qiáng)。

    比較常見的出現(xiàn)XSS攻擊情況的網(wǎng)站板塊一般是留言板塊和評(píng)論板塊，比如通過輸入一段Javascript代碼，使任何打開這個(gè)頁面的用戶跳轉(zhuǎn)到另外一個(gè)非用戶希望的網(wǎng)站，或者是把用戶的COOKIE信息和輸入信息發(fā)送到另一個(gè)網(wǎng)站進(jìn)行保存，從而盜取用戶賬號(hào)資料，這將非常危險(xiǎn)。

    解決辦法其實(shí)很簡單，只要在用戶輸入保存的時(shí)候進(jìn)行過濾，進(jìn)行HTML編碼，既可以阻止這種跨站腳本攻擊。