黑客利用网站程序的一些bug漏洞插入代码，在用户打开网站并进行点击时触发恶意代码在执行，此操作会对目标web带来会话劫持、钓鱼欺骗、cookie资料窃取等危害。

XSS分类

xss攻击可以分成三类：

反射型：经过后端，不经过数据库

存储型：经过后端，经过数据库

DOM：不经过后端，DOM—based XSS漏洞是基于文档对象模型（Document Objeet Model,DOM）的一种漏洞，Dom - xss是通过url传入参数去控制触发的。

也可以分成两种类型：

1.持久型攻击

2.非持久型攻击

持久型xss攻击：持久型xss，会把攻击者的数据存储在服务器端，攻击行为将伴随着攻击数据一直存在。

非持久型xss攻击：顾名思义，非持久型xss攻击是一次性的，仅对当次的页面访问产生影响。非持久型xss攻击要求用户访问一个被攻击者篡改后的链接，用户访问该链接时，被植入的攻击脚本被用户游览器执行，从而达到攻击目的。

XSS危害

1.劫持用户（浏览器）会话，从而执行任意操作，例如进行非法转账、强制发表日志等；

2.窃取获取用户隐私、用户Cookie，或者伪装成用户身份进入网页后台非法操作；

3.强制刷流量、跳出广告弹窗等；

4.盗取各类用户的账号或者网络钓鱼，如用户网银帐号、机器登录帐号以及各类管理员帐号；

5.向目标web界面发送大量的客户端攻击，如CC攻击；

6.使用大量的恶意操作，例如任意删除文章、篡改web信息、网页挂马、传播跨站脚本蠕虫等；

7.进一步渗透网站；

8.结合其它漏洞加深web攻击的程度，如CSRF漏洞；

9.把目标机器变成自己的母鸡，操纵母鸡向其他网站发起攻击；

10.获取客户端信息，例如用户的开放端口、浏览历史、盗窃企业一些具有商业价值的资料、真实IP等；

11.植入跨站脚本蠕虫等。