XSS跨站脚本漏洞是指攻击者的输入没有经过严格的控制，最终显示给来访的用户，攻击者通过巧妙的方法注入恶意指令代码到网页，使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript，但实际上也可以包括Java， VBScript， ActiveX， Flash 或者甚至是普通的HTML。攻击成功后，攻击者可能得到更高的权限（如执行一些操作）、个人网页内容、会话和cookie等各种内容。XSS漏洞包括但不仅限于：存储型XSS、反射型XSS、链接注入、框架钓鱼等。

检测方法：

查找可能出现XSS跨站的位置，网站搜索框、信息存储等。

对可能出现XSS跨站的位置进行输入，常用测试语句为：<script>alert(“XSS”)</script>

查看网站网页源代码，测试语句是否在系统响应HTML代码中输出。没有输出则不能进行XSS跨站利用。

对有测试语句输出的响应HTML代码，进行构造使XSS测试代码能当做JavaScript代码执行。

防护方案：

对用户的输入参数进行过滤、校验；输出的参数进行html实体编码。过滤、校验或者实体编码要覆盖的系统内所有参数；过滤规则强大可以有效的防止注入；系统前后端都要进行过滤。