12.5 小结

在这一章中,我们讨论了各种可能导致XSS漏洞的情形,以及一些可用于避开基于过滤的常用防御机制的方法。由于XSS漏洞极为常见,因此,测试员能够轻易在应用程序中发现可供利用的漏洞。但是,如果实施的各种防御机制迫使测试员设计出高度自定义的输入,或者利用HTML、JavaScript或VBScript的某些鲜为人知的特性来实施成功的攻击,这时,XSS将会更加引人关注(至少从研究角度看的确如此)。

下一章将以此为基础,并进一步讨论大量导致用户遭受恶意攻击的服务器端Web应用程序漏洞。