跨站漏洞是由于程序员在编写程序时对用户提交的数据没有做充分的合规性判断和进行HTML编码处理，直接把数据输出到浏览器客户端，这样导致用户可以提交一些特意构造的脚本代码或HTML标签代码，并在输出到浏览器时被执行。黑客利用跨站漏洞输入恶意的脚本代码，当恶意的代码被执行后就形成了所谓的跨站攻击。一般来说对于人机交互比较高的程序，比如论坛，留言板这类程序都比较容易进行跨站攻击。

跨站攻击相对于其他网络攻击而言显得更隐蔽，也更难防范。很多时候问题并不出在用户身上，而是由于网站的问题，即使我们装了防火墙，也对跨站攻击无能为力，因此防范跨站攻击我们得从两方面入手，即网站方面和个人用户方面：

2.限制输入字符的长度对于一些可以进行跨站攻击的表单对象中，我们可以限制其输入字符的长度。跨站脚本代码往往较长，如果限制了输入字符长度，也可以起到很好的防范作用。这个功能可以在数据库中设置，也可以编写一段程序代码来实现。

3.限制用户上传flash文件使用flash文件进行跨站攻击可谓防不胜防，如果不能检测用户上传的flash文件的安全性，索性限制用户上传flash文件，以彻底阻断flash跨站攻击的途径。

4.提高IE浏览器的安全等级个人用户防范跨站攻击有一定的难度，但仍可以通过设置来降低被攻击的概率。运行IE浏览器，选择“工具”菜单→“Internet 选项”，切换到“安全”标签，将安全级别设置为高，同时可以在“自定义”中进行详细的设置，将一些不需要运行的脚本禁用。但是这样设置后会造成一些正常的页面无法打开，如何取舍就看各位了。

5.增强安全意识和防范措施安装杀毒软件是必须的，碰到那些插入网页木马的跨站攻击，即使跨站成功，我们运行了网页木马，杀毒软件仍能在最后一步将木马拦截下来。

此外，用户需要“收敛”对那些具有诱惑力链接的好奇心，同时“吝啬”自己的鼠标点击，不轻易点击陌生链接。在不同的地方使用不同的密码，即使黑客通过跨站攻击获取了你的cookie，并破解出了你的密码原文，这样你损失的也只是一个账户而已，不至于全军覆没。