为什么主流网站无法捕获 XSS 漏洞？（为什么主流网站无法捕获网络）

为什么主流网站无法捕获 XSS 漏洞？（为什么主流网站无法捕获网络）

二十多年来，跨站脚本（简称 XSS）漏洞一直是主流网站的心头之痛。为什么过了这么久，这些网站还是对此类漏洞束手无策呢？

像 eBay 这样的网站，几乎完全基于用户产生的内容，通常在用户的项目描述部分包含许多活动内容（Active Content），比如 JavaScript 和 Flash。由于网站必须与用户互动，接收来自用户的输入、返回数据，这意味着，攻击者也可以直接与网站互动，从而穿破传统的外围安全防护。除非所有用户提供的内容都经过严格审查，XSS 攻击代码就有可能注入拍卖清单页面，从而影响每个访问该页面的用户。用户输入的所有内容（表单数据、cookie、邮件、文件、图片等）都应该视为不可信任，需要经历审查，删除其中可能被恶意使用的字符与字符串，才能继续执行脚本或传给数据库。

导致 eBay 这样的大网站持续受到 XSS 攻击的一大原因，是这些网站过于复杂，实时生成的网页常常会包含许多外部站点的内容。这使得测试阶段，枚举用户与应用交互的所有排列组合变得不太现实，继而导致 XSS 漏网之鱼的出现。