3.1　概述

跨站脚本攻击（Cross Site Scripting，为避免与层叠样式表CSS混淆，通常简称为XSS）是一种网站应用程序的安全漏洞，是代码注入漏洞的一种。它使得攻击者可以通过巧妙的方法向网页中注入恶意代码，导致用户浏览器在加载网页、渲染HTML文档时就会执行攻击者的恶意代码。

大量的网站曾遭受过XSS漏洞攻击或被发现此类漏洞，如Twitter、Facebook、新浪微博和百度贴吧等。根据OWASP（Open Web Application Security Project）公布的2010年的统计数据，在Web安全威胁前10位中，XSS排名第2，仅次于SQL注入攻击漏洞。

近年的CTF比赛中，XSS漏洞也很常见，如在Alibaba CTF 2015、HCTF 2016中均有相关题目。