现在，Web应用正在成为获取在线服务的主要方式。同时 Web应用漏洞正以惊人的速度被发现和披露。跨站脚本（Cross-site Scripting，XSS）是Web应用中一个严重的安全问题。这种攻击允许恶意网站操作人员滥用 Web用户对不相关的第三方网站的信任，在终端用户系统上执行恶意脚本。研究资料表明，约80％的网站应用程序容易受到跨站脚本的攻击。　　本文建立在大量针对性攻防实验的基础上，主要对跨站脚本攻击的原理、实践和防范分门别类的做了一些理论和应用方面的研究：　　1.从实际应用中攻防试验的结果对XSS进行了分类，特别强调了场景对XSS的攻击目的影响，概括性的分析了一次典型XSS攻击。　　2.根据XSS渗透的基本思路，利用黑盒、白盒和灰盒分析方法分析漏洞，并在一定的场景里执行渗透测试。　　3.针对综合各种新技术的XSS漏洞攻击进行了原理和代码分析。这些试验都建立在虚拟机、自建网站和已获得授权的网站的条件下，并全部测试通过。由于截至论文完成之日，还有很多漏洞依然存在，所以为了防止好奇或者恶意引用，部分核心代码均做了技术处理。　　4.XSS漏洞攻击防范是本文的重点，不仅对传统的抵御方法进行了研究，而且对综合类型的攻击从攻击的源头进行“免疫”，从实际需求分类阐述跨站脚本攻击的防范。侧重于实践，本文提到的防范方法也在大量实践中证明是切实有效的，对网络攻防不太熟悉的Windows用户和管理员等都具有现实指导意义。