跨站脚本攻击的危害

劫持用户（浏览器）会话，从而执行任意操作，例如进行非法转账，强制发表日志，发送电子邮件等。强制弹出广告页面，刷流量等。网页挂马。进行恶意操作，例如任意篡改页面信息，删除文章等。

如果您觉得警告框还不够刺激，当受害者点击了一个被注入了HTML代码的页面链接时攻击者能作的各种的恶意事情。诱捕受害者。 “微博病毒”攻击事件回顾：2011年6月28日晚，新浪微博出现了一次比较大的XSS攻击事件。

持久型跨站：最直接的危害类型，跨站代码存储在服务器（数据库）。非持久型跨站：反射型跨站脚本漏洞，最普遍的类型。用户访问服务器-跨站链接-返回跨站代码。