跨站腳本攻擊（Cross Site Scripting，簡稱 XSS，亦翻為跨網站的入侵字串）又有新的攻擊語法！此次觸發惡意腳本不需要用到 script 標籤（譬如 <script>alert(1)</script>），也不用 javascript 協定（譬如 javascript:alert(1)），而是 8 月 26 日所揭露的

<isindex type=image src=1 onerror=alert(1)>

<isindex type=image src=1 onerror=alert(1)>攻擊語法

稍加調整甚至不需要定義 src 屬性也可成功：
<isindex type=image onerror=alert(1) src=>攻擊語法

跨站腳本攻擊（XSS）不虧是名列最新 OWASP Top 2007（2007年 OWASP 十大 Web 資安漏洞）的榜首，「簡單好用、防不勝防」！

簡單來說，跨站腳本攻擊（XSS）的基本精神就是駭客在 HTML 文件中安插網頁腳本語言（譬如 JavaScript 或 VBScript），讓受駭方的瀏覽器在瀏覽網頁時進而去執行。這延伸兩個討論議題：
1. 為何駭客能夠在 HTML 文件中安插這些腳本？
在 Web 2.0 的時代，大部分的網頁或多或少都需要產生動態內容，都需要與使用者互動，一旦使用者所提供的資料（譬如惡意腳本字串）有機會成為動態輸出的 HTML 內容的一部份時，這樣惡意腳本就被成功地安插進原本合法無惡意的 HTML 文件了。這也是為何許多客戶最後選擇從源碼檢測著手，揪出這些進入點與輸出點，治本地解決跨站腳本攻擊（XSS）。

2. 為何瀏覽器會去執行這些腳本？
瀏覽器只是如實地遵循 W3C （World Wide Web Consortium） 所制定的 HTML 標準（目前最新版本為 HTML 4.01），正確地支援各語法標籤應表現的樣式與行為，因此當應該執行腳本時，就會執行這些腳本，儘管他們可能是惡意的，包括偷取 Cookie、置換網頁、轉址、攻擊其他網站等。