XSS

避免XSS最简单的方法是给Web应用程序增加能使动态输入忽略某些命令标签的代码。
XSS攻击的目的是盗走客户端的cookies,或者任何可以用于在Web站点确定客户身份的其他
敏感信息.得到cookies之后，黑客就可以冒充合法用户，登录系统.

很重要的是要知道,虽然Web站点不直接受到这种攻击的影响(站点继续正常工作,恶意代码不在站点上执行,
不会出现Dos情况,并且数据不直接受控,或从站点上读取),但是它仍旧是站点向其它访问者或客户端提供
的隐私保护机制中的缺陷.这就像站使用薄弱的安全标志部署应用程序，借此，黑客可以猜出客户的安全标
志并冒充客户.

Web服务器错误页面中的问题(通常显示了资源的路径).
XSS 是针对特殊 Web 站点的客户隐私的攻击，当客户详细信息失窃或受控时可能引发彻底的安全威胁。

XSS 攻击的目的是盗走客户端 cookies，或者任何可以用于在 Web 站点确定客户身份的其他敏感信息。手边有了合法用户的标记，黑客可以继续扮演用户与站点交互，从而冒充用户

 

引用：