XSS（Cross Site Scripting），全称是跨站脚本攻击，是一种常见的网络安全漏洞类型。它允许攻击者在被控制的网页中注入恶意脚本代码到用户的浏览器中执行。这种类型的攻击通常针对那些将用户提交的数据不安全地插入到动态生成的内容中的网站。 XSS 攻击可以分为三类：

1.反射型 XSS（Non-persistent or Transient XSS）：

这类攻击中的脚本被保留在 HTTP 响应的 body 内，当页面加载时会立即执行。如果用户点击链接或访问一个含有恶意代码的网页，则在用户的浏览器中运行攻击代码。

2.存储型 XSS（Persistent or Stored XSS）：

在这种情况下，恶意代码被永久地存储在目标网站的应用程序数据库或其他数据存储区中。当其他用户浏览这些页面时，恶意脚本会自动执行，因为它们已被保存和配置为在所有访问该页面的会话中运行。

3.DOM-based XSS（Document Object Model-based XSS）：

这类攻击不依赖于 HTTP 响应的数据注入，而是利用了浏览器如何解析和处理 DOM（文档对象模型）。JavaScript 代码嵌入到 HTML 元素属性或事件处理器中，通常在用户与页面交互时触发。 XSS 攻击的目的多种多样，包括：

    -窃取用户数据：

攻击者可能通过获取用户的登录凭证、密码或其他敏感信息来对个人账户进行操纵。

    -欺骗用户：

通过伪装成合法网站或诱骗用户提供敏感信息（如信用卡号）来进行身份盗用和金融欺诈。

    -提升权限：

在一些情况下，XSS 可能会被用来在不受信任的上下文中执行代码，从而获取更高级别的访问权限。 防止 XSS 攻击的主要策略包括： 1. 对用户提交的数据进行输入验证和清理。 2. 使用内容安全策略（Content Security Policy, CSP）限制浏览器如何加载外部资源。 3. 实施严格的服务器端验证，并使用如 HTML 净化库等工具来过滤和格式化可插入到网页中的数据，以消除潜在的恶意代码。 总之，XSS 攻击是网络攻击者用来窃取信息、破坏用户体验并可能损害系统安全的一种常见策略。通过采取适当的预防措施，网站开发者可以显著降低 XSS 漏洞的风险