A1. 跨网站的入侵字串(Cross Site Scripting,简称XSS,亦称为跨站脚本攻击):Web应用程序直接将来自使用者的执行请求送回浏览器执行,使得攻击者可撷取使用者的Cookie或Session资料而能假冒直接登入为合法使用者。
A5. 跨网站的伪造要求 (Cross-Site Request Forgery,简称CSRF): 已登入Web应用程序的合法使用者执行到恶意的HTTP指令,但Web应用程序却当成合法需求处理,使得恶意指令被正常执行,案例包括社交网站分享的 QuickTime、Flash影片中藏有恶意的HTTP请求。