【TechTarget中国原创】问：我听说的跨站点脚本攻击（XSS ）是目前最高等级的安全风险。是否有企业安全专业人员可以使用的新的策略来防御它呢？

　　答：跨站点脚本攻击（简称XSS，这样我们就不会混淆它们与层叠样式表）是目前的主要攻击媒介。它们攻击从用户那里得到信息的脆弱网站，而这些网站把这些数据返回到浏览器。XSS攻击发生时，恶意人士在其他用户的浏览器中运行一个恶意的浏览器脚本。然后，攻击者可以窃取的cookies -或者甚至使用脆弱的电子商务网站-使浏览器忙于处理问题，使它像是受害者的浏览器。我们在Intelguardians的渗透测试工作中，所测试的Web应用大约有80%含有XSS漏洞。

　　企业可以通过仔细过滤用户输入和输出，消除和脚本相关的=<>’"();&等字符，防范的XSS漏洞。在过去，大多数机构的重点是控制和过滤输入信息。当然这是一个好主意。攻击者仍然通过不受保护的输入信息流渗透到应用中。一些诱人的目标，包括磁条纹、电子数据交换的资料和纸质邮件，通过光学字符识别获得扫描和转换。如果Web应用开始发送攻击者的恶意浏览器脚本，用户就处于危险之中。为避免这种情况，需要过滤应用输出流量中的恶意脚本。当然，你也应该过滤合法的浏览器脚本，这些浏览器可以被用于并允许他们送到浏览器。但是，特定的数据牵引功能绝不能有浏览器脚本。在这些情况下，过滤器应该在最终页面制作并返回到浏览器之前配置。