XSS攻击（跨站脚本攻击的简称）是指攻击者利用网站程序对用户输入过滤不足的缺陷，输入可以显示在页面上对其他用户造成影响的HTML代码，从而盗取用户资料、利用用户身份进行某种动作或者对访问者进行病毒侵害的一种攻击方式。

存在XSS攻击风险的功能点主要涉及以下两种：

● 评价功能用户输入评论（评论处为攻击代码）→服务器接收到评论并存储（入库存储）→前台自动调用评论→任何人触发评论（直接看到攻击代码）→攻击成功。

● 论坛私信功能用户发送私信（私信内夹带攻击代码）→服务器接收私信并存储（入库处理）→收信用户打开私信（展示攻击代码）→攻击成功。

上述两个应用功能在各类网站应用中非常常见。XSS攻击的目标为打开已经嵌入XSS攻击代码网页的用户。用户的身份类型各不相同。

根据身份特点，重点需要保障的用户信息为：

1）网站的管理员账号信息。

2）网站用户的账号信息及特权、金额等。

3）活跃账号的信息。

……

XSS的攻击面积广，有效信息可直接辅助后续渗透攻击，并且导致的危害绝对不容小觑，因此绝不可坐视不管。