前段时间在修改时天气预报15天查询（http://tqybw.net），想增加图片延迟载入的脚本功能，刚好看到某XX网站上有，为了测试方便，就直接引用某XX站的JS调用，没有下载下来.然后急着就上线了！某天用工具检测 http://tqybw.net/xian15tian/，提示有跨站脚本攻击漏洞危险，赶紧修改过来！对于跨站脚本攻击漏洞个人作以下说明：
跨站脚本攻击漏洞描术：
1.跨站脚本攻击就是指恶意攻击者向网页中插入一段恶意代码，当用户浏览该网页时，嵌入到网页中的恶意代码就会被执行。
2.跨站脚本攻击漏洞，英文名称Cross Site Scripting，简称CSS又叫XSS。它指的是恶意攻击者向Web页面中插入一段恶意代码，当用户浏览该页面时，嵌入到Web页面中的恶意代码就会被执行，从而达到恶意攻击者的特殊目的。

跨站脚本攻击漏洞危害
1.恶意用户可以使用该漏洞来盗取用户账户信息、模拟其他用户身份登录，更甚至可以修改网页呈现给其他用户的内容。
2.恶意用户可以使用JavaScript、VBScript、ActiveX、HTML语言甚至Flash应用的漏洞来进行攻击，从而来达到获取其他的用户信息目的。

跨站脚本攻击漏洞解决方案：
1.建议过滤用户输入的数据，切记用户的所有输入都要认为是不安全的。
2.网站中不要跨站调用不被信任的网站文件：如JS，css，iframe等