1. 钓鱼欺骗：最典型的就是利用目标网站的反射型跨站脚本漏洞将目标网站重定向到钓鱼网站，或者注入钓鱼 JavaScript 以监控目标网站的表单输入，甚至发起基于 DHTML 更高级的钓鱼攻击方式。 2. 网站挂马：跨站后利用 IFrame 嵌入隐藏的恶意网站或者将被攻击者定向到恶意网站上，或者弹出恶意网站窗口等方式都可以进行挂马攻击。 3. 身份盗用：Cookie 是用户对于特定网站的身份验证标志，XSS 可以盗取用户的 Cookie，就可以获取到用户对网站的操作权限，从而查看用户隐私信息。 4. 垃圾信息发送：在社交网站社区中，利用 XSS 漏洞借用被攻击者的身份发送大量的垃圾信息给特定的目标群。 5. 劫持用户 Web 行为：一些高级的 XSS 攻击甚至可以劫持用户的 Web 行为，从而监视用户的浏览历史、发送与接收的数据等等。 6. XSS 蠕虫：借助 XSS 蠕虫病毒还可以用来打广告、刷流量、挂马、恶作剧、破坏数据、实施 DDoS 攻击等。 7. 控制受害者机器向其他系统发起攻击。

CVE-2022-4369：https://nvd.nist.gov/vuln/detail/CVE-2022-4369