跨站***

    跨站腳本***（cross-site scripting，xss）：發生在客戶端，惡意代碼在服務器上，用戶點擊此連接，惡意代碼注入瀏覽器，從而達到***效果。跨站***可能是竊取cookie的信息。

   xss原理：（1）嵌入非法的html標籤；（2）嵌入JavaScript；（3）flash的actionscript腳本。注入的標籤和腳本都在客戶端瀏覽器執行。

   xss類型：（1）持久型跨站：最直接的危害類型，跨站代碼存儲在服務器（數據庫）。（2）非持久型跨站：反射型跨站腳本漏洞，最廣泛的類型。用戶訪問服務器-跨站連接-返回跨站代碼。（3）DOM跨站（DOM XSS）:DOM(document object model文檔對象模型)，客戶端腳本處理邏輯致使的安全問題。

  xss實例：***者給查詢參數q增長了惡意構造的值（跨站代碼: http://www.a.cn?q=<script>alert(document.cookie)<script> )

若是服務端在返回的結果頁面中，將用戶提交的內容進行了原樣的顯示，那麼訪問這個連接時會彈出你的Cookie信息.

  xss危害：（1）釣魚欺騙；（2）網站掛馬；（3）身份盜用；（4）xss蠕蟲。

  xss解決方案：（1）假定全部輸入出都是可疑的。對http請求頭部的變量，cookie中的變量檢查。（2）驗證數據的類型，格式，長度，範圍和內容。（3）在服務器端過濾。