什么是XSS：

XSS：Cross site script(跨站脚本) (缩写应该是css，为了和CSS(层叠样式表)做区分所以叫XSS)

概念：黑客通过“HTML注入”篡改网页，插入恶意脚本，当用户在浏览网页时，实现控制用户浏览器行为的一种共计方式。

常见危害：盗取用户信息、钓鱼、制造蠕虫等，当然也可以盗取用户cookie。

XSS（Cross Site Scripting）的中文意思为“跨站脚本漏洞”，XSS 攻击通常指的是通过利用网页开发时留下的漏洞，通过巧妙的方法注入恶意指令代码到网页，使用户加载并执行攻击者恶意制造的网页程序。



这些恶意网页程序通常是 JavaScript，但实际上也可以包括 Java、 VBScript、ActiveX、 Flash 或者甚至是普通的 HTML。攻击成功后，攻击者可能得到包括但不限于更高的权限（如执行一些操作）、私密网页内容、会话和 cookie 等各种内容。



人们经常将跨站脚本攻击（Cross Site Scripting）缩写为 CSS，但这会与层叠样式表（Cascading Style Sheets，CSS）的缩写混淆。因此，有人将跨站脚本攻击缩写为 XSS。



跨站脚本攻击（XSS），是最普遍的 Web 应用安全漏洞。这类漏洞能够使得攻击者嵌入恶意脚本代码到正常用户会访问到的页面中，当正常用户访问该页面时，则可导致嵌入的恶意脚本代码的执行，从而达到恶意攻击用户的目的。

XSS（Cross Site Scripting）的中文意思为“跨站脚本漏洞”，XSS 攻击通常指的是通过利用网页开发时留下的漏洞，通过巧妙的方法注入恶意指令代码到网页，使用户加载并执行攻击者恶意制造的网页程序。
这些恶意网页程序通常是 JavaScript，但实际上也可以包括 Java、 VBScript、ActiveX、 Flash 或者甚至是普通的 HTML。攻击成功后，攻击者可能得到包括但不限于更高的权限（如执行一些操作）、私密网页内容、会话和 cookie 等各种内容。
人们经常将跨站脚本攻击（Cross Site Scripting）缩写为 CSS，但这会与层叠样式表（Cascading Style Sheets，CSS）的缩写混淆。因此，有人将跨站脚本攻击缩写为 XSS。

恶意攻击者往Web页面里插入恶意html代码，当用户浏览该页之时，嵌入其中Web里面的html代码会被执行，从而达到zhuan恶意用户的特殊目的。什么是XSS攻击　　XSS又叫CSS (Cross Site Script) ，跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码，当用户浏览该页之时，嵌入其中Web里面的html代码会被执行，从而达到恶意攻击用户的特殊目的。XSS属于被动式的攻击，因为其被动且不好利用，所以许多人常忽略其危害性。而本文主要讲的是利用XSS得到目标服务器的shell。技术虽然是老技术，但是其思路希望对大家有帮助。

XSS（Cross Site Scripting）的中文意思为“跨站脚本漏洞”，XSS 攻击通常指的是通过利用网页开发时留下的漏洞，通过巧妙的方法注入恶意指令代码到网页，使用户加载并执行攻击者恶意制造的网页程序。

XSS（Cross Site Scripting）的中文意思为“跨站脚本漏洞

简介跨站脚本(cross site script)为了避免与样式css混淆，所以简称为XSS。XSS注入的就是：网页中根据用户的输入，不期待地生成了可执行的js代码， 并且js得到了浏览器的执行。意思是说， 服务器响应给浏览器的字符串中， 包含了一段非法的js代码，而这段代码跟用户的输入有关。

是英文 Cross-Site Scripting 的缩写。

简单来说

1. 正常用户 A 提交正常内容，显示在另一个用户 B 的网页上，没有问题。

2. 恶意用户 H 提交恶意内容，显示在另一个用户 B 的网页上，对 B 的网页随意篡改。

造成 XSS 有几个要点：

1. 恶意用户可以提交内容

2. 提交的内容可以显示在另一个用户的页面上

3. 这些内容未经过滤，直接运行在另一个用户的页面