Question

我们知道，一提到Web蠕虫，很多人的脑海里就会想到PC上的蠕虫，虽然这两种蠕虫所处的环境不一样，但它们具有许多相似的性质，比如传播性、感染性、病毒恶意行为等。对大众来说，很多观念与印象都还停留在PC蠕虫上，Web蠕虫到底是什么呢？看看下面的描述就会知道。

在Web 2.0网站横行的互联网世界，一个非常重要的因素是用户参与，这个特性决定了Web 2.0与Web 1.0的重大区别。而由此特性衍生出了Web 2.0网站特有的一些安全问题，其中就有Web蠕虫风险。蠕虫的一个特性就是传播性，对于Web蠕虫来说，传播的媒介就是Web2.0网站的浏览器客户端，而传播的基石则是广大用户。

第1章描述了浏览器的安全策略，一般情况下，除非遭遇浏览器漏洞，否则Web蠕虫传播不会脱离出浏览器平台，这对操作系统安全研究的人来说，危害似乎就不大了，他们可能会这样想：“危害没到操作系统层面，一切都没影响！”这样的观念是具有极大偏见的。

本章会对Web蠕虫的主要三类（XSS蠕虫、CSRF蠕虫、Clickjacking蠕虫）进行详细剖析。