XSS：当一个目标的站点，被我们用户去访问，在渲染HTMl的过程中，出现了没有预期到的脚本指令，然后就会执行攻击者用各种方法注入并执行的恶意脚本，这个时候就会产生XSS。

涉及方：

• 用户（通过浏览器去访问网页）
• 攻击者（通过各种办法让用户访问页面执行恶意脚本，盗取信息）
• Web服务器（存储并返回恶意脚本）

XSS的危害

挂马

网页挂马是指在一个程序中利用木马生成器生成一个网码，加上一些代码，可以让木马程序再打开网页的时候就立即执行。

盗取用户的Cookie

盗取了用户的关键信息后，就可以模拟去做一些事情：包含但不局限于转账请求、恶意信息发送请求、未知文件下载请求、删除目标文章、恶意篡改数据、嫁祸。

蠕虫病毒

• 爆发 Web2.0 蠕虫病毒
• 蠕虫式的DDoS攻击
• 蠕虫式挂马攻击、刷广告、刷流量、破坏网上数据
  

其它

• DDoS（拒绝服务）客户端浏览器。
• 钓鱼攻击，高级的钓鱼技巧。
• 劫持用户 Web 行为，甚至进一步渗透内网。

XSS种类

反射型

指发出一个请求的时候，XSS的恶意代码出现在我们的访问链接之中，它作为一部分的数据提交到我们的服务器，服务器解析之后进行响应，代码就会随着响应传回到浏览器中。

比如我们在输入框中输入字符，并且检索，网页也会把结果返回到页面上：

URL里面有什么请求字符，就把请求字符反射到前端页面上：

如果我们把值替换成，标签替换，只留中间

最后

XSS存在的最根本原因是我们对url中的参数或者用户需要输入的地方没有做一个充分的过滤，所以就会有一些不合法的参数或者输入内容能够到我们的 Web服务器 ，最后用户访问前端页面的时候，就可能将这段代码拉过来又执行了一遍，对我们程序或者我们程序猿本身而言，XSS的防范至关重要。

相关资料

XSS网络攻击 - 原理，类型和实践
XSS 原理和攻防 - Web 安全常识

水平有限，还不能写到尽善尽美，希望大家多多交流，跟春野一同进步！！！