跨站脚本(Cross-site scripting,缩写为CSS或者XXS)是一个被攻击者在链接中插入恶意代码,看起来好像可信赖的源的安全漏洞。当点击此链接时,嵌入的程序接收用户的Web请求,进而在用户的计算机上执行恶意代码,典型地,允许攻击者盗取用户的信息。
跨站脚本的名字来自于攻击者通过在可信站点中加入恶意代码进行攻击的手段。攻击者使用多种方法做到上述描述,例如在一个论坛消息的链接中插入代码,或者使用E-mail哄骗发送垃圾信息,并显示它来自可信站点。网页表单返回动态的包含用户数据的错误信息,这使攻击者修改HTML代码控制表单的行为成为可能。
与其它基于网页的漏洞,如SQL注入一样,放置在不可靠应用的跨站脚本的先天确实是漏洞产生的原因。服务器端程序产生的动态页面易受跨站脚本漏洞攻击,如果它们验证用户输入失败,将确保页面正确的加密产生。为对抗跨站脚本漏洞,专家建议Web应用应该包含适当的安全机制,服务器照例验证输入。
CSS同样是层叠式样式表--cascading style sheets的缩写。
