Question

通常，我们提到Web前端安全时，第一个想到的就是XSS，它的全称为Cross Site Script-ing，即跨站脚本，其实重点已经不在“跨站”这个字面上（原因会在后面谈到），而是“脚本”。脚本主要有两个：JavaScript和Action-Script，这两个的基本概念已经在第2章介绍过。我们可以去看看OWASP TOP 10，XSS一直是名列前茅的，2007排行榜第一，2010则到了第二，因为各种注入风险综合已经占据了第一的位置。XSS漏洞非常广泛，不过不是所有的漏洞都有危害或者利用价值，对XSS危害的评估需要看实际场景。比如，一个小企业网站与一个流行的社交网站对比，小企业几乎不会在意XSS，因为实际上危害事件发生的概率是很低的，甚至早期一些大网站（包括社交网站、电子商务网站、银行门户等）都很少在意这个漏洞。随着XSS攻击的利益化与舆论化，这些大网站都开始在意甚至投入更多的精力从根源上处理好XSS问题。本章的内容会让大家初步了解XSS是什么，更多高级的内容在后续章节中会介绍。