XSS又叫CSS (Cross Site Script) ，跨站指令碼攻擊。它指的是惡意攻擊者往Web頁面裡插入惡意html程式碼，當用戶瀏覽該頁之時，嵌入其中Web裡面的html程式碼會被執行，從而達到惡意使用者的特殊目的。

　　沒想到我的部落格評論系統中存在XSS漏洞，現在已經修正。

　 　有位聰明的網友發現在發表評論“名稱”中填寫指令碼可以被執行，比如他填寫了 <script>alert(1);</script> 和 <script>while(1);</script>。這個程式碼直接導致瀏覽器報告網頁尾本繁忙的警告資訊。這位網友來 自：119.145.0.157 來自 廣東省深圳市 電信

　 　www.vktone.com部落格系統使用了FreeMarker作為靜態化引擎，在輸出名稱時沒有新增?html對<>進行轉義，因此造 成了這個問題。解決辦法：將${comment.name}改為 ${comment.name?html}。因為正文部分前面已經進行了轉義，${comment.content?html} 所以不能被利用。

　　最後來看一下這位童鞋都進行了哪些嘗試：

　　這位童鞋還在伺服器上進行了其他不光彩的行為，試圖連線該伺服器上的CVS服務。這不是你應當乾的，童鞋！