最近无意中发现一个客户站点，在百度SITE结果提示有漏洞。
本来这是很正常的现象。这年头哪个网站没一两个漏洞，还真不适应。

好吧，打开详细检测结果，来源于SCANV，也就是北京知道创宇公司旗下的检测平台。
但提示漏洞让我惊呆了！

- 阅读剩余部分 -

跨站脚本攻击就是指恶意攻击者向网页中插入一段恶意代码，当用户浏览该网页时，嵌入到网页中的恶意代码就会被执行。一般用来盗取浏览器cookie

跨站脚本攻击漏洞，英文名称Cross Site Scripting，简称CSS又叫XSS。它指的是恶意攻击者向Web页面中插入一段恶意代码，当用户浏览该页面时，嵌入到Web页面中的恶意代码就会被执行，从而达到恶意攻击者的特殊目的。

避免XSS的方法之一主要是将用户所提供的内容输入输出进行过滤，许多语言都有提供对HTML的过滤。

- 阅读剩余部分 -