IT公司面试手册

XSS漏洞有多常见？

由于XSS漏洞很容易在大型网站中发现，在黑客圈内它非常流行。FBI.gov、CNN.com、Time.com、Ebay、 Yahoo、Apple、Microsoft、Zdnet、Wired、Newsbytes都有这样那样的XSS漏洞。

在商业产品中，平均每个月能够发现10-25个XSS漏洞。
加密能否防止XSS攻击？

使用SSL(https)加密的网站并不比不加密的网站好到哪儿去。Web程序仍然以同样的方式工作，只是攻击是通过加密的连接实现。有些人看到浏览器上的锁图标就认为他们是安全的，其实不然。
XSS漏洞能否在服务器上执行命令？

XSS漏洞会导致Javascript的恶意插入，但它的执行受到很多限制。如果攻击者利用浏览器的漏洞，有可能在用户的计算机上执行命令。因此，就算能够执行命令也只能在客户端。简单地说，XSS漏洞可以触发客户端的其他漏洞。
如果我不修改CSS/XSS漏洞会怎样？

如果不修改XSS漏洞，你的网站上的用户会受到被篡改的威胁。许多大型网站都发现了XSS漏洞，这个问题已经得到普遍认识。如果不修改，发现它的人也许会警告你的公司，损害公司的信誉。你拒绝修改漏洞的消息也会传到客户那里，造成公司的信任危机。客户不信任的话还怎么做生意？