跨站***,即Cross Site Script Execution(通常简写为XSS)是指***者利用网站程序对用户输入过滤不足,输入可以显示在页面上对其他用户造成影响的HTML代码,从而盗取用户资料、利用用户身份进行某种动作或者对访问者进行病毒侵害的一种***方式。

      用户在浏览网站、使用即时通讯软件、甚至在阅读电子邮件时,通常会点击其中的链接。***者通过在链接中插入恶意代码,就能够盗取用户信息。***者通常会用十六进制(或其他编码方式)将链接编码,以免用户怀疑它的合法性。

  网站在接收到包含恶意代码的请求之后会产成一个包含恶意代码的页面,而这个页面看起来就像是那个网站应当生成的合法页面一样。许多流行的留言本和论坛程序允许用户发表包含HTML和javascript的帖子。

  假设用户甲发表了一篇包含恶意脚本的帖子,那么用户乙在浏览这篇帖子时,恶意脚本就会执行,盗取用户乙的session信息。

  跨站脚本***,三步如下:

  1.HTML注入,所有HTML注入范例只是注入一个JavaScript弹出式的警告框:alert(1)。

  2.做坏事,如果您觉得警告框还不够刺激,当受害者点击了一个被注入了HTML代码的页面链接时***者能作的各种的恶意事情。

  3.诱捕受害者。