答案：XSS攻击（Cross Site Scripting，区别于CSS，所以叫XSS），中文名称为跨站脚本攻击。XSS攻击是攻击者通过篡改HTML脚本，在用户浏览网页时，控制用户浏览器进行恶意操作（如盗取用户Cookie、破坏页面结构、重定向到其他网站等）的一种攻击方式。

XSS攻击类型有两种：一种是反射型，攻击者诱使用户点击一个嵌入恶意脚本以达到攻击的目的；另外一种是持久型XSS攻击，黑客提交含有恶意脚本的请求数据，这些数据被保存在站点的数据库中，当用户浏览网页时，恶意脚本作为请求数据的一部分返回请求页面，浏览器解析时恶意脚本被执行，从而达到攻击的目的。

防止XSS攻击的手段这里推荐两种。

• 恶意脚本通常包含一些不常用的字符，对特殊字符过滤或者进行转义，这是常用的防范脚本攻击的手段。
• 将Cookie的HttpOnly属性设置为true，设置了这个属性后，Cookie 无法被浏览器的JavaScript脚本获取到，可以避免攻击脚本获取Cookie信息。当然也可能会给开发带来一定的不便。