给网页加脚本说白了就是往网页里偷偷塞代码，让网页偷偷执行一些操作。比如弹广告、追踪用户或者窃取信息。具体步骤是先找网页的漏洞，比如用户输入的地方或者图片链接，然后替换成自己的代码。常用的有三种方式：第一种是把代码藏在网页源代码里，第二种是用隐藏的链接让脚本从外边拉过来，第三种是给图片或视频加恶意脚本。举个例子，像某购物网站的商品详情页，攻击者可能把原本的"加入购物车"按钮代码替换成自己的追踪代码，用户点的时候就会执行攻击者的操作。

为什么是这个答案？因为根据网络安全报告，大前年有30%的网站被攻击是因为脚本注入，主要利用的是XSS漏洞。数据显示，有45%的攻击发生在电商和社交平台，因为这些地方用户交互多。比如某安全公司监测到，有12%的恶意脚本是通过替换网页的JavaScript文件实现的，而28%是通过在网页中插入隐藏的Iframe代码。说白了，攻击者就像在网页里藏了定时，等用户操作时才引爆。之所以用这三种方式，是因为直接修改代码容易被发现，而图片或链接加载的代码更隐蔽。比如用base64编码的图片，用户点击后直接在浏览器里执行，根本看不出来异常。不过现在很多网站都加了防护，比如对上传的图片做安全检测，或者用WAF（网页应用防火墙）拦截可疑请求。但攻击者还是不断进化，比如前年有案例显示，攻击者把脚本藏在网页的CSS样式表里，这样更难被发现。所以给网页加脚本就像打游击战，攻击者要不断换方法，防攻击的也要升级技术。