Question

W3C即万维网联盟（http://www.w3.org/），它制定了很多推荐标准，比如：HTML、XML、JavaScript、CSS等，是这些标准让这个Web世界变得标准和兼容。浏览器遵循这些标准去实现自己的各种解析引擎，Web厂商同样遵循这些标准去展示自己的Web服务。如果没有W3C，那么这个Web世界将一片混乱。

由于W3C制定的是推荐标准，很多时候网站并没严格按照这些标准执行，但是却能比较好地呈现出来。而浏览器的实现也不一定完全遵循标准，甚至可能冒出一个自己的方案，这个现象可以在微软的IE浏览器与Mozilla的Firefox浏览器中随处发现，这也是前端设计师们经常苦恼的“不兼容”问题，导致出现了各种“Hack”技术，这些Hacks就是为了解决这些不兼容问题而出现的。

比如，为了解决CSS兼容性而发展的CSS Re-set技术，该技术会重置一些样式（这些样式在不同的浏览器中有不同的呈现），后续的CSS将在这个基础上重新开始定义自己的样式。

再如，为了解决JavaScript兼容性，诞生了许多优秀的JavaScript框架，如jQuery、YUI等，使用这些框架提供的API，就可以很好地在各个主流浏览器上得到一致的效果。

Web世界在进步，标准化也越来越被重视。相比前端工程师来说，我们更关注安全问题，W3C的标准设计就安全了吗？浏览器遵循W3C标准的实现就完美了吗？浏览器之间的这些差异可能导致多少安全风险的出现？在深入了解这些知识之前，我们还需要明白一点，导致Web安全事件的角色都有哪些，而解决方案参与者又有哪些？

Web安全事件的角色如下：

· W3C；

· 浏览器厂商；

· Web厂商；

· 攻击者（或黑客）；

· 被攻击者（或用户）。

解决方案的参与者除了攻击者以外，其他都需要参与，这是一个因果循环，如果W3C的标准制定具有安全缺陷，那么遵循标准去实现的浏览器厂商与Web厂商都将带进这些安全缺陷，或者W3C标准没安全缺陷，而浏览器厂商或者Web厂商实现上存在缺陷，那么安全事件照样发生，而如果被攻击者能有比较好的安全意识或防御方案，那么安全事件也很难发生。这些通用型的防御方案将在最后一章介绍，本章以W3C标准为起点开始我们的前端基础介绍。