XSS攻击

XSS攻击通常是指通过利用网页开发时留下的漏洞，通过巧妙的方法注入恶意指令代码到网页，使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript，但实际上也可以包括 Flash 或者甚至是普通的HTML。攻击成功后，攻击者可能得到包括但不限于更高的权限（如执行一些操作）、私密网页内容、会话和cookie等各种内容。

如果Web应用程序没有部署足够的安全验证，这些攻击很容易成功， 浏览器无法探测到这些恶意脚本是不可信的，所以，这些脚本可以任意读取cookie，session tokens，或者其它敏感的网站信息，或者让恶意脚本重写HTML内容。

反射型XSS攻击

当用户点击一个恶意链接，或者提交一个表单，或者进入一个恶意网站时，注入脚本进入被攻击者的网站。Web服务器将注入脚本，比如一个错误信息，搜索结果等返回到用户的浏览器上。由于浏览器认为这个响应来自“可信任”的服务器，所以会执行这段脚本。

存储型XSS攻击

注入型脚本永久存储在目标服务器上。当浏览器请求数据时，脚本从服务器上传回并执行。

DOM-based型XSS攻击

通过修改原始的客户端代码，受害者浏览器的DOM环境改变，导致有效载荷的执行，页面本身没有变化,但由于DOM环境被恶意修改，有客户端代码被包含进页面，并意外执行。