xss（Cross Site Script）跨站脚本攻击，指的是攻击者在Web页面插入恶意JS代码，这些代码在HTML解释时会被当做脚本执行，所以当用户请求该网页时，嵌入其中JS代码就会被执行，从而达到攻击的目的.

XSS漏洞 一般会出现在查询框，留言板等可以输入的地方.

反射型XSS漏洞（Reflected XSS）： 攻击者利用目标网站对用户输入内容缺乏过滤和转义导致攻击脚本被插入到目标网页的URL参数中。当用户访问带有攻击脚本的URL时，浏览器会执行该脚本，此时攻击者就可以获取用户的信息。它是用户请求一次资源，服务器响应用户请求，并将原有数据返回到用户端，因为攻击者请求时利用漏洞向页面中插入了一串恶意代码，而服务器原样返回了该页面的数据，所以当解析到该页面这串代码时便完成一次攻击。一次请求一次响应，所以叫反射型。 非存储型，就是通过get或者post请求时，被后端处理过数据，并且响应到前端页面上。

存储型XSS漏洞（Stored XSS）：攻击者在目标网站中插入的恶意JS脚本，被存储到了存放该页面数据的数据库中。就比如说，留言框，访问者在这里的留言可以一直显示在此页面中，这些数据其实是被存放在了一个数据库中，所以当用户再访问留言框这个页面时，才会看到别人的留言内容。存储型XSS漏洞就是把这个恶意JS代码提交到类似留言框的地方，使它永久存在数据库中去。所以当用户再次访问被存储攻击脚本的页面时，攻击脚本会被执行。 XSS代码被存储到服务器上的数据库里的某张表的字段里，或者页面，或者某个上传文件里。

DOM型XSS的攻击方式。它是由于前端JavaScript框架在解析用户输入时对搜索引擎的优化而导致的。攻击者可以在URL上通过特定形式的参数伪装为页面的一部分，再通过脚本来执行攻击。由于DOM异常处理能力较弱，攻击者可以通过构造特殊的参数来绕过安全限制，实现XSS攻击。 仅仅在前段页面进行操作的。

窃取用户的个人信息：攻击者通过XSS注入恶意脚本，可以获取用户的Cookie、Session等敏感信息，从而窃取用户的账户名、密码、邮件、手机号等个人隐私。 利用用户浏览器进行攻击：攻击者可以将恶意脚本注入到非法网站，然后通过社会工程学的手段，诱骗用户访问该网站，进而将攻击方式延伸至用户的操作系统，造成更大的影响。 损害网站的声誉和信誉：遭受XSS攻击的网站会受到恶意攻击者的破坏，可能会误导用户、篡改网站内容，导致网站运营商的信誉受到影响。 泄露企业机密信息：企业针对外部用户开发的Web应用程序，如果存在XSS漏洞，可能会导致机密信息被攻击者窃取，造成不良的财务、商业影响。