跨站脚本可以称为XSS,是攻击者向目标Web站点注入HTML标签或者脚本。所以在开发过程中javaScript程序员必须意识到这点。
例如:
<script>
var name=docodeURIComponent(window.location.search.substring(1))||"";
docement.write("hello"+name);
<script>
上面脚本是获得url后面以?开头的的后面部分
**如果输入 URL+world;那么输出的是helloworld
**那如果输入 URL+%3Cscript%3Ealert('world')%3C/script%3E 那么注入的脚本只显示一个弹窗(%3C和%3E是尖括号编码)
**接下来如果输入 URL+%3Cscript src=js地址%3E%3C/script%3E 那么注入的就是一个js,那么可能就会出现攻击
***当然在javascript中我们可以通过脚本将<script>两边的标签移除,或替换