Question

经常听到有人说：“XSS没危害，很少有人去关注。”其实是说这话的人可能省略了上下文，比如，对于那些半年不更新的小企业网站来说，发生XSS漏洞几乎没什么用。

挂马？几乎不会发生，对于没影响力的网站，谁会用XSS去诱骗挂马？

盗取管理员Cookies？半年不更新的网站，这个概率很低了。

如果真的有人去进行APT（持久化威胁）攻击，就盯这个网站半年，一个XSS盗取Cookies的利用一等就是半年，管理员也许不会被诱骗查看这个XSS链接，即使查看了，如果是个反射型的XSS，IE 8/IE 9/Chome直接就给拦截了。看吧……我们还能说这个XSS有多大危害吗？危害几乎可以忽略。可是就这样一传十，十传百，很多人都开始感觉XSS就是鸡肋，下结论越来越不负责了，在他们眼里只有那种类似MS08-067远程用操作系统权限的系统级别漏洞才是王道，我们不否认这样很帅，不过前端黑客攻击的对象是Web应用，并非操作系统，本身没有可比性。在很多场景中，前端攻击的XSS等就是王道。

比如在各类SNS、邮件系统、开源流行的Web应用场景中，前端攻击被广泛实施与关注。任何一次攻击都脱离不了具体场景，有关很多精彩的利用，大家可以在本书中看到。