在开始实例的讲解之前，先看一下XSS的危害情况，第一张图中说明和XSS相关的CVE漏洞有7417个（http://web.nvd.nist.gov/view/vuln/search-results?query=xss&search_type=all&cves=on），第二张图说明在了乌云漏洞平台(www.wooyun.org)上和XSS相关的漏洞有2360个，足见XSS威力还是很大的。

本文章翻译自：http://namb.la/popular/tech.html MySpace蠕虫(也称Samy或者JS.Spacehero蠕虫)的技术讲解 点击此处了解更多关于MySpace蠕虫有趣的事儿  在文章的最下方列出了关于此蠕虫的全部代码。 请注意，此讲解是在MySpace解决了此问题后才发出的，下面所讲的所有的代码现在都不会再生效，否则就是蓄意破坏了。下面我们来看一下，它

上个周想申请个WEB安全专题，结果第一次申请被拒绝，理由是专题不明确，第二次被拒绝，才给了真正的原因：没有相关的原创文章！我原以为要先申请专题，再写文章，原来是我理解错了，说了些费话，下面说一下我准备写的WEB安全专题。       我准备从四个方面来写，XSS、SQL注入、CSRF和WEB服务器配置不当，每个方面都会从产生的原因、存在的危害、验证的方法以及一些修改的建议几个部分来说明，其中会插

名称：XSS 全命：Cross-site scripting 为什么不是CSS? 因为CSS在网页设计领域已经被广泛指层叠样式表（Cascading Style Sheets），所以将Cross改以发音相近的X做为缩写。 江湖排名：2013年的OWASP(Open Web Application Security Project，官网https://www.owasp.org/)中排名第三。

昨天的文章中引用了OWASP2013年的江湖排名，今天来看一下TOP中XSS的左邻右舍都是谁，先看一下他们的大名，再进一步介绍 【以下主要翻译自https://www.owasp.org/index.php/Top_10_2013-Top_10】： A1-Injection 注入 A2-BrokenAuthentication and Session Management 失效的验证和会话管

今天本来想发XSS犯罪历史，举几个例子提高一下大家兴趣的，结果种种原因没能写，至于原因，有兴趣的网友可以看看《一个空格引发的思考》下面言归正传说说XSS的分类：          一般说来，XSS分三类： 第一类，反射型XSS：这类XSS是临时的，不具有持久性，所以也称为非持久性XSS，早期常见的是错误页面，比如http://xxxx.error.jsp?msg=error，如果JSP中直接把