XSS／跨站脚本攻击，是一种代码注入网页攻击，攻击者可以将代码植入到其他用户都能访问到的页面（如论坛、留言板、贴吧等）中。如今，XSS 攻击所涉及的场景愈发广泛。越来越多的客户端软件支持 html 解析和 JavaScript 解析，比如：HTML 文档、XML 文档、Flash、PDF、QQ

前端一般会面临 XSS 这样的安全风险，但随着 React 等现代前端框架的流行，使我们在平时开发时不用太关注安全问题。以 React 为例，React 从设计层面上就具备了很好的防御 XSS 的能力

CSRF：需要用户先登录网站A，获取 cookie。XSS：不需要登录。CSRF：是利用网站A本身的漏洞，去请求网站A的api。XSS：是向网站 A 注入 JS代码，然后执行 JS 里的代码，篡改网站A的内容。

（XSS）攻击是一种注入类型，其中恶意脚本被注入到其他良性和可信赖的网站中。那么Angular怎么防御xss攻击？当攻击者使用Web应用程序将恶意代码（通常以浏览器端脚本的形式）发送给不同的最终用户时，就会发生XSS攻击。

在开始本文之前，我们先提出一个问题，请判断以下两个说法是否正确： XSS 防范是后端 RD（研发人员）的责任，后端 RD 应该在所有用户提交数据的接口，对敏感字符进行转义，才能进行下一步操作。所有要插入到页面上的数据，都要通过一个敏感字符过滤函数的转义，过滤掉通用的敏感字符后，就可以插入到页面中。

XSS 是跨站脚本攻击（Cross Site Scripting）的简写，但是从首写字母命名的方式来看，应该取名 CSS，但这样就和层叠样式表（Cascading Style Sheets，CSS）重名了，所以取名为 XSS。

谷歌正在移除其 Chrome 网络浏览器中已经存在 9 年的一个功能，该功能可以帮助避免一些潜在的在线攻击。不过，别担心——优化的保护方案也即将出台。XSS Auditor 是 2010 年推出的一个内置 Chrome 函数，用于检测跨站点脚本 (XSS) 漏洞。

没有调用远程平台，用web接收cookie ,图片创建script节点，链接远程第三方JS,总的来说，details详细信息展开时触发，往往是被忽略的一个点.三个点:标签、属性、事件代码。