大家最关心的大概就要算这个问题了，下面列举的可能并不全面，也不系统，但是我想应该是比较典型的吧。

1． 获取其他用户Cookie中的敏感数据

2． 屏蔽页面特定信息

3． 伪造页面信息

4． 拒绝服务攻击

5． 突破外网内网不同安全设置

6． 与其它漏洞结合，修改系统设置，查看系统文件，执行系统命令等

7． 其它

一般来说，上面的危害还经常伴随着页面变形的情况。而所谓跨站脚本执行漏洞，也就是通过别人的网站达到攻击的效果，也就是说，这种攻击能在一定程度上隐藏身份。

【隐藏技巧】

出于时间的考虑，我在这里将主要讲一下理论了，相信不是很难懂，如果实在有问题，那么去找本书看吧。

1． URL编码

比较一下：

http://www.5460.net/txl/login/login.pl?username= &passwd=&ok.x=28&ok.y=6

http://www.5460.net/txl/login/login.pl?username=%3C%68%31%3E&passwd=&ok.x=28&ok.y＝6

你觉得哪个更有隐蔽性？！

2． 隐藏在其它对象之下

与直接给别人一个链接相比，你是否决定把该链接隐藏在按钮以下更好些呢？

3． 嵌入页面中

让别人访问一个地址（注意这里的地址不同于上面提到的URL），是不是又要比让别人按一个按钮容易得多，借助于Iframe，你可以把这种攻击变得更隐蔽。

4． 合理利用事件

合理使用事件，在某些情况上可以绕过CGI程序对输入的限制，比如说前些日子的SecurityFocus的跨站脚本执行漏洞。

【注意事项】

一般情况下直接进行类似alert(document.cookie)之类的攻击没有什么问题，但是有时 CGI程序对用户的输入进行了一些处理，比如说包含在’’或””之内，这时我们就需要使用一些小技巧来绕过这些限制。

如果你对HTML语言比较熟悉的话，绕过这些限制应该不成问题。

【解决方法】

要避免受到跨站脚本执行漏洞的攻击，需要程序员和用户两方面共同努力：

程序员：

1． 过滤或转换用户提交数据中的HTML代码

2． 限制用户提交数据的长度

用户：

1． 不要轻易访问别人给你的链接

2． 禁止浏览器运行JavaScript和ActiveX代码

附：常见浏览器修改设置的位置为：

Internet Explorer：

工具->Internet选项->安全->Internet->自定义级别

工具->Internet选项->安全->Intranet->自定义级别

Opera：