XSS，全称是跨站脚本攻击（Cross-site scripting，简称：XSS），是一种网站应用程序的安全漏洞攻击，是代码注入的一种。它允许恶意用户将代码注入到网页上运行的脚本中。这些脚本通常是客户端的JavaScript，但也可以是VBScript、ActiveX、Flash或仅仅是普通的HTML。攻击者可以利用XSS漏洞旁路同源策略（SOP）的安全限制，从而执行一些恶意的操作，比如窃取用户的Cookie、会话令牌，或者对受害者进行重定向等。
XSS攻击主要分为三种类型：存储型XSS（Stored XSS）：这是最常见且危害最大的XSS类型。攻击者将恶意脚本注入到目标网站的数据库中，如论坛、留言板等允许用户输入内容的区域。当其他用户浏览这些被注入恶意脚本的页面时，恶意脚本就会被执行。反射型XSS（Reflected XSS）：这种攻击通常涉及将恶意脚本作为URL的一部分发送给受害者，并诱使其点击。当受害者点击这个链接时，恶意脚本会被发送到目标网站，并由网站反射回受害者的浏览器执行。这种类型的攻击通常依赖于网站没有正确验证或转义用户输入。
基于DOM的XSS（DOM-based XSS）：这种攻击发生在客户端脚本处理用户输入时，而不是在服务器端。攻击者通过操纵客户端的DOM（文档对象模型）来执行恶意脚本。这种类型的攻击通常更难检测和防御，因为攻击代码并不直接存储在服务器上。为了防止XSS攻击，可以采取以下措施：输入验证和转义：对所有用户输入进行严格的验证和转义，以防止恶意脚本的注入。
使用安全的API：避免使用不安全的JavaScript API，如eval()和innerHTML，这些API容易被攻击者利用来执行恶意代码。设置安全的HTTP头：如Content-Security-Policy（CSP）头，可以限制哪些资源可以被加载和执行，从而减少XSS攻击的风险。使用安全的框架和库：选择那些已经过安全审计和测试的框架和库，它们通常包含了对XSS等常见安全漏洞的防护措施。总之，XSS攻击是一种严重的安全威胁，但通过采取适当的防御措施，可以有效地降低其风险。