前几天看到一片文章《XSS Hack:获取浏览器记住的明文密码》(抱歉因安全考虑无法提供链接,请感兴趣的朋友百度之),讲的是目前还在萌芽中的一种跨站攻击方式——密码填充劫持。花了点时间研究了一下,觉得这种方法是几乎所有人都很难防范的。我在《网络安全的基石 – 密码安全》一文中曾提到了三种密码攻击的方法,而这次出现的是一种全新的攻击方法,十分隐蔽,且完全不需要互动。 跨站脚本攻击(Cross-Site Scripting),简称XSS,是近几年来十分流行的攻击手段,对社交网站等用户参与的网站尤为有效。我还记得前几年人人网就出过一次攻击,那时所有受影响的人都会自动转发一个帖子,而看到帖子的好友会继续转发,病毒式的扩散开来。