XSS的全称是CrossSitescriptin，它是Web应用系统最常见的安全漏洞之一，它主要源于Web应用程序疏于对用户输入的检查和过滤。攻击者利用XSS漏洞注入恶意代码到网站中去，这个恶意代码可以是HTML代码或者javascript脚本。一旦有用户浏览网站，这串恶意代码就会立即执行，造成攻击的效果。

最重要的防范措施就是对用户的输入进行检查和过滤，常见的有POST数据、HTTP协议头、查询关键字和URL，安全工程师可以指定符合预期的内容，不在条件范围内的内容全部剔除。另外，攻击的人向HTML标签或者属性中插入不可新数据时，要对这些数据进行相应的编码处理。Web安全人员可以将重要的Cookie标记为httponly，如此一来javascript脚本就不能访问这个Cookie，避免了攻击者利用javascript脚本获取Cookie。