跨站脚本攻击缩写为XSS。恶意的攻击者会往Web页面里插入恶意Script代码，当用户浏览网页之时，嵌入在Web里面的Script代码会被执行，从而达到恶意攻击用户的特殊目的。

XSS漏洞可出现的点非常多，肉眼看的到的输入，肉眼看不见(例如Flash XSS，某些抓包才看得到的接口)的输入都可能成为XSS漏洞的一个点切入进去，变成一个漏洞，每个点又能展开分为不同的方式去实现、绕过它，这让XSS漏洞瞬息万变，也是XSS攻击的魅力所在。

　　XXS攻击分为三个类型：

　　1、反射型XSS 需要欺骗用户自己去点击链接才能触发XSS代码(服务器中没有这样的页面和内容)，这种类型容易出现在搜索页面。

　　2、存储型XSS，代码是存储在服务器中的，如在个人信息或发表文章等地方，加入代码，如果没有过滤或过滤不严，那么这些代码将储存到服务器中，用户访问该页面的时候触发代码执行。这种XSS比较危险，容易造成蠕虫，盗窃cookie等。 也叫持久型XSS。

　　3、基于DOM的XSS 其实dom xss并不复杂，他也属于反射型xss的一种，domxss取决于输出位置，并不取决于输出环境，因此domxss既有可能是反射型的，也有可能是存储型的)，简单去理解就是因为他输出点在DOM。dom - xss是通过url传入参数去控制触发的。
可以看到我们输入的字符串被原封不动的输出来了，在URL中有一个input=123的一个函数显示，然后我们来看一下源代码，我们可以看到input这个函数是用户自己可控的，这就是一个漏洞。那这里我们提出来一个假设，假设我们在搜索框输入一段代码会出现什么样的情况。
XSS对整个WEB安全来说也是具有重大意义的，可以说如果没有XSS的兴起，那我们就不能像现在如此放心的浏览网站了，而是会担心各种“被中招”：钓鱼、盗号、蠕虫、恶意广告等。所以XSS在WEB安全中拥有一个举足轻重的地位。