跨网站攻击行为（XSS）是一种网络安全漏洞，攻击者通过在目标网站上注入恶意脚本，使其在用户的浏览器上执行，从而窃取用户数据或劫持用户会话。

跨网站攻击（CrossSite Attack）是一种网络安全攻击方式，攻击者利用一个网站的信任来攻击另一个网站，这种攻击方式通常涉及到恶意脚本的注入，使得用户在不知情的情况下执行攻击者的代码，最常见的跨网站攻击形式是跨站脚本攻击（XSS）和跨站请求伪造（CSRF）。

跨站脚本攻击（XSS）

跨站脚本攻击（XSS）是一种注入攻击，攻击者将恶意脚本注入到受害者的网站中，当其他用户访问这个网站时，这些恶意脚本会被执行，从而窃取用户的敏感信息，如登录凭证、会话令牌等。

XSS攻击类型

1、存储型XSS：恶意脚本被永久存储在目标服务器上，例如在论坛帖子或评论中。

2、反射型XSS：恶意脚本通过URL参数传递，并在页面中反射出来。

3、DOM型XSS：恶意脚本在客户端执行，通过修改页面的DOM结构来注入攻击脚本。

跨站请求伪造（CSRF）

跨站请求伪造（CSRF）是一种利用用户已认证的身份来执行非授权操作的攻击方式，攻击者诱导用户点击一个包含恶意请求的链接，当用户点击链接时，浏览器会自动发送请求到目标网站，从而完成攻击者的非授权操作。

CSRF攻击类型

1、GET请求攻击：攻击者通过构造一个包含恶意请求的链接，诱导用户点击。

2、POST请求攻击：攻击者通过构造一个包含恶意请求的表单，诱导用户提交。

防御措施

1、对输入进行验证和过滤：对用户输入的数据进行严格的验证和过滤，防止恶意脚本的注入。

2、使用安全框架和库：使用经过安全审计的框架和库，避免自己编写不安全的代码。

3、设置ContentSecurityPolicy：通过设置CSP，限制外部资源的加载和内联脚本的执行。

4、使用安全的会话管理：使用安全的会话管理机制，如HTTPS和HttpOnly cookie，防止会话劫持。

5、对敏感操作进行二次认证：对于涉及敏感操作的请求，可以要求用户进行二次认证，如输入验证码或短信验证。

跨网站攻击是一种利用网站信任关系进行的攻击方式，主要包括跨站脚本攻击（XSS）和跨站请求伪造（CSRF），为了防御这类攻击，我们需要对输入进行验证和过滤，使用安全框架和库，设置CSP，使用安全的会话管理，并对敏感操作进行二次认证。