導致 XSS 跨站漏洞普遍的因素有哪些

導致XSS跨站漏洞普遍的因素有以下這些：

• Web瀏覽器本身的設計是不安全的。瀏覽器包含了解析和執行JavaScript等腳本語言的能力，這些語言可用來創建各種格式豐富的功能，而瀏覽器只會執行，不會判斷數據和程序代碼是否惡意。

• 輸入與輸出是Web應用程序最基本的交互，在這過程之中若沒做好安全防護，Web程序很容易會出現XSS漏洞。

• 現在的應用程序大部分是通過團隊合作完成的，程序員之間的水平參差不齊，很少有人受過正規的安全培訓，因此，開發出來的產品難免存在問題。

• 不管是開發人員還是安全工程師，很多都沒有真正意識到XSS漏洞的危害，導致這類漏洞普遍受到忽視。很多企業甚至缺乏專門的安全工程師，或者不愿意在安全問題上花費更多的時間和成本。

• 觸發跨站腳本的方式非常簡單，只要向HTML代碼中注入腳本即可，而且執行此類攻擊的手段眾多，譬如利用CSS、Flash等。XSS技術的運用如此靈活多變，要做到完全防御是一件相當困難的事情。

• 隨著Web2.0的流行，網站上交互功能越來越豐富。Web2.0鼓勵信息分享與交互，這樣用戶就有了更多的機會去查看和修改他人的信息，比如通過論壇、Blog或社交網絡，于是黑客也就有了更廣闊的空間發動XSS攻擊。

預防跨域導致的信息泄露的方法有以下這些：

• 對數據進行智能數據分類分級：如今敏感數據識別仍以人工標識、關鍵字、正則表達式或者文件指紋等方法為主，這些方法能夠保證敏感數據識別的精確性，但是對于網絡內的海量文件和網絡流量，則顯得效率過低，漏報率過高。只有利用機器學習等人工智能技術，綜合有監督和無監督的學習過程，通過大量數據訓練模型，覆蓋所有結構化和非結構化的數據，才能控制數據共享出入口的所有文件和流量。

• 對跨域的數據進行加密解密操作：數據共享后可讀范圍的控制是數據主體責任的關鍵要素，只有數據擁有者才可控制數據的傳播范圍。最適合控制敏感數據傳播的技術莫過于數據加解密技術，數據擁有者向授權的數據獲得者發放密鑰，當敏感數據從數據共享出入口離開時用密鑰加密，此時只有獲得了密鑰的數據獲得者才能解密數據。需要注意的是，由于網絡流量無法存儲，所以加解密技術只在網絡流量數據落地后適用。

• 進行行為審計分析：數據在業務網絡內部正常流轉時泄露可能性非常低，只有當數據從共享出入口離開網絡時，數據泄露可能性才陡然升高，因此在數據共享出入口記錄數據流出日志，保留數據發送者、發送時間、目標接收人、敏感數據類別等關鍵信息，進行用戶行為審計，識別異常行為是組織必須采取的檢測措施。

• 對數據進行動態數據脫敏：在數據共享過程中，某些數據在共享前后要保持其部分可識別性和唯一性，此時可采用數據脫敏技術進行敏感數據保護。在數據共享出入口處，數據處于流動狀態，因此適合動態數據脫敏技術，在數據傳遞的過程中進行脫敏。脫敏的方法支持截斷、屏蔽、掩碼、哈希和標識轉換等常見方法。另外，由于網絡流量需校驗數據完整性，所以動態數據脫敏技術只能在網絡流量數據落地后適用。

• 阻止跨域寫操作，只要檢測請求中的一個不可推測的標記(CSRF token)即可，這個標記被稱為 Cross-Site Request Forgery (CSRF) 標記。你必須使用這個標記來阻止頁面的跨站讀操作。

• 阻止資源的跨站讀取，需要保證該資源是不可嵌入的。阻止嵌入行為是必須的，因為嵌入資源通常向其暴露信息。

• 阻止跨站嵌入，需要確保你的資源不能通過以上列出的可嵌入資源格式使用。瀏覽器可能不會遵守 Content-Type 頭部定義的類型。

回答所涉及的環境：聯想天逸510S、Windows 10。