xss

from: https://zh.wikipedia.org/wiki/%E8%B7%A8%E7%B6%B2%E7%AB%99%E6%8C%87%E4%BB%A4%E7%A2%BC

Cross-site-scripting

攻擊手段和目的[編輯]

攻擊者使被攻擊者在瀏覽器中執行指令碼後，如果需要收集來自被攻擊者的資料（如cookie或其他敏感資訊），可以自行架設一個網站，讓被攻擊者通過JavaScript等方式把收集好的資料作為參數提交，隨後以資料庫等形式記錄在攻擊者自己的伺服器上。

常用的XSS攻擊手段和目的有：

• 盜用cookie，取得敏感資訊。
• 利用植入Flash，通過crossdomain權限設定進一步取得更高權限；或者利用Java等得到類似的操作。
• 利用iframe、frame、XMLHttpRequest或上述Flash等方式，以（被攻擊）用戶的身分執行一些管理動作，或執行一些一般的如發微博、加好友、發私信等操作。
• 利用可被攻擊的域受到其他域信任的特點，以受信任來源的身分請求一些平時不允許的操作，如進行不當的投票活動。
• 在瀏覽量極大的一些頁面上的XSS可以攻擊一些小型網站，實作DDoS攻擊的效果。