XSS 全稱為 Cross-Site Scripting，可中譯為跨網站指令碼攻擊。相信想接觸網站開發的朋友們一定聽過，有一種可以寫在網頁裡，讓瀏覽器執行的程式碼稱為 JavaScript，只要使用 HTML 的 <script> 標籤，就可以在裡面撰寫一些 JavaScript 的程式，讓網頁具有動態、互動效果，甚至能製作遊戲

雖然 JavaScript 如此方便，但各位是否想過，如果讓任何人可以在你網站上寫入任何 JavaScript 代碼會發生什麼事呢？

那將會非常的危險！因為使用者相信你的網頁是安全的！以為安全進入網站後反而被導向到釣魚網站、甚至被竊取帳號密碼、個人資料，但使用者仍然會傻傻地不知道發生什麼事。

像這樣由惡意人士代入可執行的惡意代碼的手法就被稱為 XSS 攻擊。

至於如何竊取資料？只要插入代碼讓它以 AJAX 方式傳送到攻擊者的伺服器即可。

參考網站：

• 【網頁安全】給網頁開發新人的 XSS 攻擊 介紹與防範

• 【網頁安全】給網頁後端新人的 SQL Injection 介紹與防範 (PHP)