http://mdsec.net/error/79/
有时候,基于DOM的数据经过了非常复杂的处理,仅通过静态审查JavaScript源代码可能很难追踪用户控制的数据采用的不同路径以及对它进行的各种操作。在这种情况下,使用JavaScript调试器动态监控脚本的执行情况可能会有很大帮助。Firefox浏览器的FireBug扩展是一款用于监控客户端代码与内容的优秀调试器,可用于设置断点、监视感兴趣的代码与数据,为我们了解复杂脚本的执行过程提供了极大的便利。
错误观点
“我们很安全,因为Web应用程序扫描器没有发现任何XSS漏洞。”
第19章将会介绍,一些Web应用程序扫描器能够发现大多数常见的漏洞,包括XSS漏洞。但是,很显然,许多XSS漏洞很难检测出来,发现它们可能需要进行大量探查与试验。就目前而言,还没有任何自动工具能够准确确定所有这些漏洞。