什么XSS攻击，要如何预防 43.241.18.X 43.241.19.X

XSS攻击通常指的是通过利用网页开发时留下的漏洞，通过巧妙的方法注入恶意指令代码到网页，使用户加载并执行攻击者恶意制造的网页程序。当正常用户访问页面时，通过导致嵌入的恶意脚本代码的执行，
从而达到恶意攻击用户的目的。
XSS从攻击代码的工作方式可以分为三个类型：
（1）持久型跨站：最直接的危害类型，跨站代码存储在服务器（数据库）。
（2）非持久型跨站：反射型跨站脚本漏洞，最普遍的类型。用户访问服务器-跨站链接-返回跨站代码。
（3）DOM跨站（DOM XSS）：DOM（document object model文档对象模型），客户端脚本处理逻辑导致的安全问题。
XSS常见的攻击手段：
（1）盗用cookie，获取敏感信息。
（2）利用植入Flash，通过crossdomain权限设置进一步获取更高权限；或者利用Java等得到类似的操作。
（3）利用iframe、frame、XMLHttpRequest或上述Flash等方式，以（被攻击）用户的身份执行一些管理动作，或执行一些一般的如发微博、加好友、发私信等操作。
（4）利用可被攻击的域受到其他域信任的特点，以受信任来源的身份请求一些平时不允许的操作。
XSS防御方式：
（1）基于特征的防御，传统的XSS防御在进行攻击鉴别时多采用特征匹配方式，主要是针对“javascript”这个关键字进行检索
（2）基于代码修改的防御，XSS是通过Web开发者在编写程序时出现的失误和漏洞进行攻击的，通过优化Web应用开发来减少漏洞，避免被攻击