【Syuan】評論

跨網站指令碼（英語：Cross-site scripting，通常簡稱為：XSS）是一種網站應用程式的安全漏洞攻擊，是代碼注入的一種。它允許惡意使用者將程式碼注入到網頁上，其他使用者在觀看網頁時就會受到影響。這類攻擊通常包含了HTML以及使用者端手稿語言。XSS攻擊通常指的是通過利用網頁開發時留下的漏洞，通過巧妙的方法注入惡意指令代碼到網頁，使使用者載入並執行攻擊者惡意製造的網頁程式。這些惡意網頁程式通常是JavaScript，但實際上也可以包括Java，VBScript，ActiveX，Flash或者甚至是普通的HTML。攻擊成功後，攻擊者可能得到更高的權限（如執行一些操作）、私密網頁內容、對談和cookie等各種內容。常用的XSS攻擊手段和目的有：盜用cookie，取得敏感資訊。利用植入Flash，通過crossdomain權限設定進一步取得更高權限；或者利用Java等得到類似的操作。利用iframe、frame、XMLHttpRequest或上述Flash等方式，以（被攻擊）使用者的身分執行一些管理動作，或執行一些一般的如發微博、加好友、發私信等操作。利用可被攻擊的域受到其他域信任的特點，以受信任來源的身分請求一些平時不允許的操作，如進行不當的投票活動。在瀏覽量極大的一些頁面上的XSS可以攻擊一些小型網站，實現DoS攻擊的效果。維基百科:https://zh.wikipedia.org/zh-tw/%E8%B7%A8%E7%B6%B2%E7%AB%99%E6%8C%87%E4%BB%A4%E7%A2%BC

【加冰】評論

上述屬於「跨站指令碼攻擊（Cross-Site Scripting, XSS）」的攻擊方法，攻擊者透過注入惡意的程式碼到網頁中，當使用者瀏覽該網頁時就會執行這些惡意程式碼，進而達成竊取資訊、劫持Session等攻擊目的。