跨站脚本攻击(常缩写为 XSS):一种常见的网页安全漏洞/攻击方式。攻击者把恶意脚本(通常是 JavaScript)注入到网页中,使其在其他用户的浏览器里执行,从而可能窃取信息(如 Cookie/会话令牌)、篡改页面内容或冒充用户操作。除这一常见含义外,“scripting”在一般语境也可指“编写脚本”。
/ˌkrɔːs saɪt ˈskrɪptɪŋ/
The developer fixed a cross-site scripting bug on the login page.
开发者修复了登录页面上的一个跨站脚本漏洞。
Cross-site scripting can allow attackers to steal session cookies and act as the victim, especially when input isn’t properly escaped.
跨站脚本攻击可能让攻击者窃取会话 Cookie 并冒充受害者,尤其是在输入内容没有被正确转义时。
该术语由 cross-site(跨站/跨站点) + scripting(脚本执行) 组成,强调“脚本在用户浏览器端执行,但其内容来源可能被攻击者从不同位置/站点影响”。在 Web 安全语境中,XSS 这一名称流行于 1990 年代末到 2000 年代早期,用来描述“把脚本注入网页、让他人浏览器执行”的典型风险。
Select Language