2.1 知识要点与实验目标

2.1.1 XSS攻击定义及产生原理

跨站脚本攻击（Cross Site Scripting，XSS），是发生在目标用户的浏览器层上的，当渲染DOM树的过程生成了不在预期内执行的JS（JavaScript）代码时，就发生了XSS攻击。

大多数XSS攻击的主要方式是嵌入一段远程或者第三方域上的JS代码。实际上是在目标网站的作用域下执行了这段JS代码。

XSS跨站脚本攻击的重点不在“跨站”上，而在于“脚本”上。

XSS攻击产生原理：

攻击者往Web页面里插入恶意JavaScript代码，当用户浏览该页时，嵌入Web里面的JavaScript代码会被执行，从而达到恶意攻击用户的目的。

造成XSS代码执行的根本原因在于数据渲染到页面过程中，HTML解析触发执行了XSS脚本。