基于web站点的xss攻击

XSS（Cross Site Script），全称跨站脚本攻击，为了与 CSS（Cascading Style Sheet） 有所区别，所以在安全领域称为 XSS。

XSS 攻击，通常指黑客通过 HTML 注入 篡改网页，插入恶意脚本，从而在用户浏览网页时，控制用户浏览器的一种攻击行为。在这种行为最初出现之时，所有的演示案例全是跨域行为，所以叫做 "跨站脚本" 。时至今日，随着Web 端功能的复杂化，应用化，是否跨站已经不重要了，但 XSS 这个名字却一直保留下来。

随着 Web 发展迅速发展，JavaScript 通吃前后端，甚至还可以开发APP，所以在产生的应用场景越来越多，越来越复杂的情况下， XSS 愈来愈难统一针对，现在业内达成的共识就是，针对不同的场景而产生的不同 XSS ，需要区分对待。可即便如此，复杂应用仍然是 XSS 滋生的温床，尤其是很多企业实行迅捷开发，一周一版本，两周一大版本的情况下，忽略了安全这一重要属性，一旦遭到攻击，后果将不堪设想。

平台相关例子：

第三方黑我们网站，把某一个名字改成代码的形式：

系统中任何用户进入网站，能看到这个名字的所有页面中的信息（页面F12后可以看到的所有信息），第三方都可以收到看到获取到。

相关问题对话：

把想要测试的输入框改成以下内容（系统中含有以下字样的页面就会弹出提示框提示xsd，如果弹出提示则有问题（代码生效了），如果 没弹出则没问题）：

课程接口1<script>alert("xsd")</script>

刚刚提到的第三方可以收到页面中的所有信息，可以理解为页面F12中可以看到的所有信息。