网络攻击的形式可谓多种多样，一个不慎网民即将掉入病毒木马的包围中。而对于网站，所面临的攻击范围更加广大。XSS(Cross-site scripting)攻击是最常见的Web攻击之一，和其它Web攻击类似的是，XSS也是利用Web页面编码的不严谨，和SQL注入漏洞所不同的是，XSS漏洞更加难以发现避免。

　　此外，XSS攻击还有另外一个与众不同的特性：虽然骇客利用的是Web业务系统存在的漏洞，但真正的受害者却是随后访问这些Web系统的用户。

　　正是由于以上两个特性——难以避免、难以察觉，所以想要防御XSS攻击非常困难。启明星辰推出的天清入侵防御产品，采用基于攻击手法分析的检测方法，对Web威胁如SQL注入、XSS攻击等进行全面检测和防御。与传统的基于数据特征匹配和基于异常模型构建的Web安全相比，有着更低的漏报率和误报率。

　　网上银行谨防XSS攻击

　　大家都用过网站的搜索功能，提供一个搜索输入框，用户在框中输入想要查找的内容，提交后台数据库检索。但如果提交的输入信息不是字符串，而是一段可执行指令呢?一个很常见的XSS例子，在输入框中填入“"><SCRIPT>alert('XSS%20Testing')</SCRIPT>”(不包括最外侧的双引号)，一些没有做严格过滤的站点将会弹出一个alert框，显示“XSS Testing”，这意味着这段脚本已经被执行了。Reflect-based XSS(反射式XSS)利用的就是这样一个原理。