Cross-Site scripting 跨站脚本攻击，因为和css同名所以改成xss。 就比如一个掘金写文章的页面，假设掘金没有做xss攻击的脚本，我在我的文章里面写了<script>alert("攻击")<script>，那么当用户点开我的文章的时候就会有个alert提醒。…

攻击者构造出特殊的 URL，其中包含恶意代码。 用户打开带有恶意代码的 URL。 用户浏览器接收到响应后解析执行，前端 JavaScript 取出 URL 中的恶意代码并执行。 恶意代码窃取用户数据并发送到攻击者的网站，或者冒充用户的行为，调用目标网站接口执行攻击者指定的操作。…

浏览器中的安全，可以按照系统安全、网络安全、页面安全三个方面来了解。 谁也无法保证浏览器自身不存在漏洞，浏览器在执行前又无法分辨从网络拿到的资源是否安全，而操作系统的各种权限让网络资源接触到是有风险的，因此默认所有网络资源都是不可信的。 现代浏览器早已经拥抱了多进程的架构，从输…