XSS（跨站攻击）也叫JavaScript 注入，是现代网站最频繁出现的问题之一，它指的是网站被恶意用户植入了其他代码，通常发生在网站将用户输入的内容直接放到网站内容时。例如论坛、留言板等可以输入任意文字的网站，恶意用户如果写入一小段 <script>，并且前、后端都没有针对输入内容做字符转换和过滤处理，直接把用户输入的字串作为页面内容的话，就有可能遭到 XSS。


　　常见的 XSS 有几个类型：将恶意代码写入数据库，当数据被读取出来时就会执行的储存型 XSS；将用户输入的内容直接带回页面上的反射型 XSS；以及利用 DOM 的特性，各种花式执行恶意代码的DOM-based 型 XSS。


　　储存型及反射型都很好理解，DOM-based 型就非常有意思了；可以参考OSWAP 整理的XSS Filter Evasion Cheat Sheet[1]，绝大多数的 XSS 方式，都是通过各个元素的 background-image 属性或者元素上的各种事件回调来实现；其中特别值得注意的是 SVG，由于 SVG 中可以写入任意 HTML，还可以加上 onload 事件，如果把 SVG 当成普通图片处理，直接作为网站内容使用，如果遇到恶意用户的话，后果不堪设想。所以在上线上传图片功能时，务必要把 SVG 过滤掉！


　　避免 XSS 的方法其实也很简单，只要在数据输入输出时做好字符转换，使恶意代码不被执行，而是被解析成字符就可以了。