Cross-site scripting(跨站脚本攻击)

背景和现状

当网景（Netscape）最初推出JavaScript语言时，他们也察觉到准许网页服务器传送可执行的程式码给一个浏览器的安全风险（即使仅是在一个浏览器的沙盒里）。它所造成的一个关键的问题在于使用者同时开启多个浏览器视窗时，在某些例子里，网页里的片断程式码被允许从另一个网页或物件取出资料，而因为恶意的网站可以用这个方法来尝试窃取机密资讯，所以在某些情形，这应是完全被禁止的。为了解决这个问题，浏览器采用了同源决策——仅允许来自相同网域名称系统和使用相同协定的物件与网页之间的任何互动。