作为站点所有者，您可以使用 javascript 做的任何事情都可以通过 XSS 攻击来完成。这包括修改DOM。您可以替换整个页面，从而控制进出网站的所有数据。相对简单的脚本可以读取cookies并转发会话信息。这就像远处的 Firesheep——通过获取用户的访问凭据来冒充用户。

此外，这可能会给您的网站的访问者带来任何影响浏览器的攻击。

XSS 本身不会造成太大的破坏，但它可以很容易地与其他技术结合形成强大的攻击向量。几种可能性是：

会话劫持- 通常，会话 cookie 可以从 Javascript 中读取。通过 XSS，可以挂载一个脚本，读取用户的会话 ID 并将其传回给攻击者（一个简单而有效的方法是在 DOM 中添加一个 img 元素，其中图像的 URL 带有会话 ID）；然后，攻击者可以通过将会话 ID 放入他们自己的会话 cookie 来劫持经过身份验证的会话。

抓取敏感信息- 如果具有 XSS 漏洞的页面包含敏感信息，并将其发送给攻击者（就像会话 cookie）。

代表他人发布数据- 通过 XSS，可以在未经用户同意的情况下拦截和修改甚至触发表单提交。例如，如果您可以破坏网络邮件客户端，您可以劫持“发送”按钮将自己添加到收件人列表中。

恶意重定向- XSS 脚本可以更改页面上任何链接的 URL。这可能会被滥用，例如，将用户发送到欺骗性登录页面；他们没有实际登录，而是将其凭据发送给攻击者。

社会工程——通过插入错误消息、警报等，您可以诱使用户做出各种不安全的行为。例如，攻击者可能会提示用户下载并打开某个文件；如果要求他们这样做的网站对用户有很高的信任度，他们很可能会不加批判地执行任何事情，从而允许安装木马和其他恶意软件。

另请注意，许多攻击向量在用户没有自觉打开受感染页面的情况下起作用：通常，受感染页面被放入其他地方的不可见 iframe 中，例如受害者可能访问的论坛，或从其他地方链接的页面.

有两个方面：

• 一个 XSS 漏洞允许攻击者做任何事情，允许受害者对系统做任何事情。如果受害者是工作人员，他或她很可能可以访问个人信息，例如电子邮件地址或银行详细信息。此外，此类帐户可能被允许修改内容并将其替换为不适当的陈述或浏览器漏洞。

• 一次成功的黑客攻击可能会导致极差的新闻报道。这可能比直接损坏要严重得多。