XSS，中文名稱為跨站腳本，是一種很常見的腳本漏洞。因為跨站腳本攻擊不能直接對系統(tǒng)進行攻擊，所以往往被人們忽視。

由于WEB應用程序沒有對用戶的輸入進行嚴格的過濾和轉換，就導致在返回

頁面中可能嵌入惡意代碼。遠程攻擊者可以利用這些漏洞在用戶瀏覽器會話中執(zhí)行任意HTML和腳本代碼?？缯灸_本執(zhí)行漏洞的攻擊效果需要借助第三方網(wǎng)站來顯現(xiàn)，因此這種攻擊能在一定程度上隱藏身份。

由于跨站腳本不能直接對系統(tǒng)進行攻擊，所以跨站腳本總是伴隨社會工程學來實現(xiàn)攻擊的，這種攻擊的主要表現(xiàn)形式是釣魚式攻擊。釣魚式攻擊方式有很多，比如獲取Cookie, 偽造頁面,屏蔽頁面特定信息,與其它漏洞結合攻擊操作系統(tǒng)等等。釣魚式攻擊是針對人腦的攻擊方式，它的傳播手段有EMAIL、IM、聊天室、惡意連接、游戲中的聊天系統(tǒng)，凡是能實現(xiàn)用戶之間互動操作的系統(tǒng)都存在釣魚式攻擊的風險。

在電子商務蓬勃發(fā)展的今天，針對個人財務信息的釣魚攻擊事件數(shù)量成直線上升，其中一個主要攻擊途徑就是跨站腳本執(zhí)行漏洞。據(jù)統(tǒng)計，國內外存在跨站腳本漏洞的網(wǎng)站多達60%, 其中包括許多大型知名網(wǎng)站。

針對于XSS攻擊如此頻繁,危害之大,南昌網(wǎng)絡公司百恒網(wǎng)絡提供的實用的解決方案:

對這些存在安全隱患進行過濾或嚴格限制 "<"、">"、 "javascript:"、"jscript:"、 "vbscript:"、"&"、""、"onerror"、" "、'CHR(34)、'CHR(39)、"'"。

希望對廣大站長或網(wǎng)站建設公司有所幫助，如對此不太理解的，可以與南昌網(wǎng)絡公司百恒網(wǎng)絡技術部聯(lián)系。