XSS又叫CSS (Cross Site Script) ，跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码，当用户浏览该页之时，嵌入其中Web里面的html代码会被执行，从而达到恶意攻击用户的特殊目的。XSS属于被动式的攻击，因为其被动且不好利用，所以许多人常忽略其危害性。
 
 
恶意攻击者往Web页面里插入恶意html代码，当用户浏览该页之时，嵌入其中Web里面的html代码会被执行，从而达到恶意用户的特殊目的。
 
简介：  许多web 开发人员认为安全性无足轻重。安全性经常沦为软件开发生命周期的最后一位，有些甚至事后才想起。有时候，软件安全性被完全忽视，导致应用程序中充满常见漏 洞。目前条件下这类bug 只有在遭到攻击时才能表现出来，所以如果没有开发流程方面的知识，很难在事件发生之前检查到。使用jQuery Mobile、PHP 和MySQL 构建web 应用程序，本教程显示常用开发方法会伴有多少种类型的漏洞，最重要的是，提供了它们各自的对策。
 
XSS漏洞类型主要分为持久型和非持久型两种：
 
1. 非持久型XSS漏洞一般存在于URL参数中，需要访问黑客构造好的特定URL才能触发漏洞。
 
2. 持久型XSS漏洞一般存在于富文本等交互功能，如发帖留言等，黑客使用的XSS内容经正常功能进入数据库持久保存。
 
3. DOM XSS漏洞，也分为持久和非持久型两种，多是通过javascript DOM接口获取地址栏、referer或编码指定HTML标签内容造成。
 
4. FLASH,PDF等其他第三方文件所造成的特殊XSS漏洞，同样按应用功能也分为持久和非持久型。
 
反映型XSS：当请求数据在响应中呈现为未编码和未筛选时，就会发生反映型XSS。有了社会工程的帮助，攻击者可以诱骗用户访问创建这样一个请求的页面，即允许攻击者在目标用户上下文中执行JavaScript。这种变化可以做什么取决于漏洞的性质，但是XSS 一般被利用来劫持会话、窃取凭据或者执行未经授权的操作。
 
持久型：持久型威胁通常比反映型威胁更大，在服务器为用户提交的请求数据服务时就认为XSS 漏洞是持久型的。因为恶意数据在应用程序中是持久的，所以可根据不同的漏洞加以利用，这使得攻击的社会工程方面变得更简单了，甚至完全消除了。