1.2 XSS

跨站脚本攻击（Cross Site Scripting）本来缩写为CSS，后来为了与层叠样式表（Cascading Style Sheet, CSS）的缩写进行区分，改为XSS。XSS的本质是攻击者在Web页面插入恶意的Script代码（这个代码可以是JavaScript脚本、CSS或者其他意料之外的代码），当用户浏览该页面时，嵌入其中的Script代码会被执行，从而达到恶意攻击的目的，比如读取cookie、session、token，或者网站其他的敏感信息，对用户进行钓鱼欺诈等。

根据维基百科给出的解释，XSS出自2000年微软安全工程师的安全报告，当时XSS用于描述一种从无关页面跳转到被攻击页面的攻击行为，随后攻击方式不断进化，而XSS这个名字被沿用下来，成了Web应用代码注入攻击的统称。