跨站脚本攻击（XSS）：过滤不完的恶梦，又有新攻击语法！

　　跨站脚本攻击（Cross Site Scripting，简称 XSS，亦翻为跨网站的入侵字串）又有新的攻击语法！此次触发恶意脚本不需要用到 script 标籤（譬如 <script>alert(1)</script>），也不用 javascript 协定（譬如 javascript:alert(1)），而是 8 月 26 日所揭露的

　　<isindex type=image src=http://www.hack58.net/Article/html/3/7/2008/1 src="/Article/UploadPic/2008-9/20089111422470.jpg">

　　稍加调整甚至不需要定义 src 属性也可成功：

　　<isindex type=image src="/uploadfile/2008/9/8-du20175_20080911120816_1.jpg">

　　跨站脚本攻击（XSS）不亏是名列最新 OWASP Top 2007（2007年 OWASP 十大 Web 资安漏洞）的榜首，「简单好用、防不胜防」！

　　简单来说，跨站脚本攻击（XSS）的基本精神就是骇客在 HTML 文件中安插网页脚本语言（譬如 JavaScript 或 VBScript），让受骇方的浏览器在浏览网页时进而去执行。这延伸两个讨论议题：

　　1. 为何骇客能够在 HTML 文件中安插这些脚本？

　　在 Web 2.0 的时代，大部分的网页或多或少都需要产生动态内容，都需要与使用者互动，一旦使用者所提供的资料（譬如恶意脚本字串）有机会成为动态输出的 HTML 内容的一部份时，这样恶意脚本就被成功地安插进原本合法无恶意的 HTML 文件了。这也是为何许多客户最后选择从源码检测著手，揪出这些进入点与输出点，治本地解决跨站脚本攻击（XSS）。

　　2. 为何浏览器会去执行这些脚本？

　　浏览器只是如实地遵循 W3C （World Wide Web Consortium） 所制定的 HTML 标准（目前最新版本为 HTML 4.01），正确地支援各语法标籤应表现的样式与行为，因此当应该执行脚本时，就会执行这些脚本，儘管他们可能是恶意的，包括偷取 Cookie、置换网页、转址、攻击其他网站等。