跨站腳本攻擊(Cross-site scripting,XSS)透過於網站程式當中所發現的弱點與漏洞,藉此在網站上進行注入惡意程式碼的攻擊手段,通常這種攻擊都會在HTML與JavaScript等當中注入惡意代碼,在使用者無意察覺時輸入或點擊,攻擊成功後便可竊取cookie或實施鍵盤側錄,也可能植入一些惡意軟體與病毒,造成嚴重的損失與傷害,這一種攻擊的主要類型大致上有三種,分別為:儲存型、反射型、DOM型。對此提高預防的方式也可以透過,對使用者輸入的資料額外進行嚴格的管控,設定限制使用者的權限僅有訪問的權限,備份的重要性與監控的追蹤都是勢必要徹底執行的,定期進行安全的檢查掃描也能夠分析與修復其他潛在的漏洞與風險,這種攻擊的方式也在持續演化推進,如同其他各式各樣的病毒與惡意軟體。
原先Cross-site scripting的縮寫應該是CSS,不過會與階層樣式表CSS(Cascading Style Sheets)同名,則改為XSS。
iThome鐵人賽
看影片追技術