什么是XSS跨站攻击

　　CSS(Cross Site Script)，又叫XSS跨站脚本攻击。它指的是恶意攻击者往Web页面的HTML代码中插入恶意的ActiveX、HTML、JavaScript、Flash或VBScript脚本，当用户访问该页之时，嵌入Web里面的代码会被执行，窃取过此用户信息、改变其设置、破坏用户数据，从而达到恶意攻击用户的特殊目的。

　　XSS在多数情况下对web程序和服务器的运行不会造成影响，但严重威胁了客户端的安全，主要源于服务器对用户提交的数据过滤不完整。

　　跨站脚本攻击属于被动式的攻击，因为其被动且不好利用，所以许多人常忽略其危害性。  

　　现在，为了规避风险且节约安全检测成本，一般企业会选择联系具备资质的IDC服务器提供商购买或租用云WAF或高防IP服务，能够从根源上阻拦所有的web攻击(包括XSS跨站脚本攻击)。

　　尽管XSS劫持是一种不容易被web设计者重视的攻击方式，单XSS代码甚至不符合图灵完备的语言，但因为引发攻击的方式并不困难(不需要依赖JavaScript)，攻击者可以利用XSS作为工具记录用户的密码等信息，因此也会被骇客当作攻击方式的选择之一。
 

　　传统的XSS跨站利用方式，一般都是由攻击者先构造一个跨站网页，然后在另一空间里放一个收集Cookie的页面，接着结合其它技术让用户打开跨站页面以盗取用户的Cookie，以便进一步的攻击。

　　对于这种方式而言，即便攻击者收集到了Cookie，也未必能进一步渗透进去，毕竟随着网络安全意识的提高，现在多数的Cookie里面的密码都是经过加密的。

　　如果想要Cookie欺骗的话，同样也要受到其它的条件的限约。

　　比较成熟的方法是通过跨站构造一个表单，表单的内容则为利用程序的备份功能或者加管理员等功能得到一个高权限。

       这就是为什么企业纷纷找到五里界BGP机房 。