JavaScript 真的很不安全

AJAX让javascript再次大行其道,但JavaScript 真的很不安全。


基于JavaScript的浏览器攻击层出不穷,news.com.com上报道的新的漏洞


客户端的js脚本能够在客户端扫描你的机器和内网。然后用Ajax技术将结果发回服务器端。而你所做的只是在浏览网页,你根本不知道后台的javascript在做写什么。


SPI Dynamic的一个该漏洞的测试页面


想要完全剔除这样的漏洞很难,因为它使用的都是常用的js函数,如果禁用这些函数,那么一大批在线的网站都会受影响。


所以Ajax就安全而论,是祸不是福。