xss (crosssite scripting) 又称为css 跨站脚本，是指在web应用程序的输入过程中，没有严格过滤输入的信息，使恶意用户可以往内容中注入精心构造的html语句，从而达到让正常用户浏览此恶意页面时执行该恶意html的目的

        国内研究web应用程序安全的人不少，不过大多集中在研究web应用程序的代码注入上，关注面向客户端攻击的xss的人很少，也鲜有成功的xss漏洞发掘记录，      虽然xss漏洞跟远程代码注入、本地和远程溢出相比，或许还不够上报给厂商或者公开的级别，甚至还有人认为，即使是偷cookie这一类的xss漏洞，也没有任何价值可以直接丢弃            上周paypal 发现了一个xss的漏洞，根据漏洞描述，这个漏洞就是偷窃正常用户的登陆cookie类型的，paypal把这个xss漏洞的威胁等级标记为严重，并迅速补上。

        个人认为，xss漏洞的威胁跟其他漏洞一样大，不应该因为xss漏洞没有类似其他漏洞直接的影响就减少挖掘和关注。假设一下，要是在一个知名的电子商务/新闻的网站上发现一个xss漏洞，而网管又没有及时补上的话，攻击者就有可能使用这个xss漏洞进行钓鱼攻击，发布假新闻等...更进一步，要是换成在一个webmail或者支付网站上出现cookies或者session 偷窃的xss漏洞的话，造成的后果会更严重(比如 新浪、taobao ...  )

       没有不存在漏洞的web 网站，或多或少的漏洞隐藏在web应用程序的各个角落里，做web应用程序安全研究的朋友和网管都应该关注一下xss漏洞，不能因为它看起来没有类似代码注入、溢出等漏洞的影响那么直接就忽视它的存在，否则，到出现问题时就悔之已晚

本文转自J0ker51CTO博客，原文链接：http://blog.51cto.com/J0ker/4558，如需转载请自行联系原作者