跨站***

    跨站脚本***（cross-site scripting，xss）：发生在客户端，恶意代码在服务器上，用户点击此连接，恶意代码注入浏览器，从而达到***效果。跨站***可能是窃取cookie的信息。

   xss原理：（1）嵌入非法的html标签；（2）嵌入JavaScript；（3）flash的actionscript脚本。注入的标签和脚本都在客户端浏览器执行。

   xss类型：（1）持久型跨站：最直接的危害类型，跨站代码存储在服务器（数据库）。（2）非持久型跨站：反射型跨站脚本漏洞，最广泛的类型。用户访问服务器-跨站连接-返回跨站代码。（3）DOM跨站（DOM XSS）:DOM(document object model文档对象模型)，客户端脚本处理逻辑致使的安全问题。

  xss实例：***者给查询参数q增长了恶意构造的值（跨站代码: http://www.a.cn?q=<script>alert(document.cookie)<script> )

若是服务端在返回的结果页面中，将用户提交的内容进行了原样的显示，那么访问这个连接时会弹出你的Cookie信息.

  xss危害：（1）钓鱼欺骗；（2）网站挂马；（3）身份盗用；（4）xss蠕虫。

  xss解决方案：（1）假定全部输入出都是可疑的。对http请求头部的变量，cookie中的变量检查。（2）验证数据的类型，格式，长度，范围和内容。（3）在服务器端过滤。