问：跨站脚本有没有新的变化？它还是十几年前的旧式攻击吗？为什么所有的混乱中都有它？

　　答：目前的跨站脚本攻击（cross-site scripting，XSS）策略与上个世纪末的攻击已经大不一样了。当时黑客的手段是突然出现的对话框和窃取浏览器中的电子商务cookie。虽然这些早期的攻击依然存在，但是攻击已经变得更加严重了。随着Asynchronous JavaScript和XML (AJAX)等新开发方式的出现，网站推到浏览器的脚本的能力比以前的更强了。

　　为了了解发生了什么，考虑这种攻击的情况：你发现自己正在属于攻击者的网站上浏览，或者甚至是在即使是在含有从其他用户获取的清白的网站，例如社交网站、拍卖网站或者Web邮件网站。（如果没有恰当的消除用户的输入过滤浏览脚本，清白的网站可能会产生XSS漏洞。）一旦出现这种情况，恶意脚本程序都会忠实的传送到你的浏览器上。浏览器然后运行脚本，并把它们作为网站传送来的内容解读。

　　“然后呢？”你会问。原罪就要发生了。在浏览器上运行的脚本，可以在网站上做任何你可以做的事情：出价拍卖、购买物品或者在好友列表中增加讨厌的人。但是会变得更糟糕。这些脚本可以查看你的浏览器历史，观察你是否访问了什么不好的网站，并依次向攻击者返回信息。脚本还可以使用浏览器开始扫面其它网站服务器，即使是你的企业防火墙内部的服务器。

　　目前浏览器脚本可以做的事情令人震惊。而且，所有的一切都可能发生，因为你是在攻击者的网站上冲浪的，或者是在第三方的位置上查看的攻击者的内容。

　　简而言之，攻击者可以使用浏览器脚本支配受害计算机的网络控制。当然，对于脚本可以在浏览器上进行的活动也有一些限制。例如，它们不能直接访问文件系统中的任何文件或者在计算机上运行任意程序，但是灵活的研究人员正在寻找躲避这些限制或者在内部生存并完成强大控制的方法。
 
　　怎么防御呢？在高度敏感的计算机上，可以完全用浏览器脚本。此外，确保杀毒软件的更新。还要认真观察这种趋势。可以确定的是，在这个领域有很多资料。