1.2 XSS

跨站腳本攻擊（Cross Site Scripting）本來縮寫為CSS，后來為了與層疊樣式表（Cascading Style Sheet, CSS）的縮寫進行區分，改為XSS。XSS的本質是攻擊者在Web頁面插入惡意的Script代碼（這個代碼可以是JavaScript腳本、CSS或者其他意料之外的代碼），當用戶瀏覽該頁面時，嵌入其中的Script代碼會被執行，從而達到惡意攻擊的目的，比如讀取cookie、session、token，或者網站其他的敏感信息，對用戶進行釣魚欺詐等。

根據維基百科給出的解釋，XSS出自2000年微軟安全工程師的安全報告，當時XSS用于描述一種從無關頁面跳轉到被攻擊頁面的攻擊行為，隨后攻擊方式不斷進化，而XSS這個名字被沿用下來，成了Web應用代碼注入攻擊的統稱。