Javascript是邪恶的 许多的 Cross site scripting (XSS) 都可以用 Javascript 触发 这里有份很详细的XSS cheat sheet： http://ha.ckers.org/xss.html ※ 引述《TKirby ( :D)》之铭言： : http://blog.gslin.org/archives/2006/01/06/288/ : 理论上只要某网站让使用者可以跑自己或别人写的 javascript : 比方说某 yuite, 某 xahoo, 某 bchome, 某 mretch... 等等 : 尤其是在你 login 之後会接触的页面 : 那你的帐号就有可能会被窜改资料甚至盗用 : mretch 是确定的(现在不知道修正没?) 有在修正了 : yuite 有人试过，不过後来yuite 那边好像有做修改 : xahoo 跟 bchome 我自己玩过，理论上可以，但没有验证是不是真的能做坏事 : 说实话，这不是 javascript 的错 : 而是设计网站的人不够专业 : (所以说以後如果有人问怎样的网站设计师才算专业的话，这就是一个门槛 XD) : --- : 前阵子写 windows 上跑的 javascript 时， : norton antivirus 跑出警告窗 「恶意程式码..」 : 明明就是我自己写给我自己用的小程式 : 只因为微软的漏洞百出使得防毒软体把这些程式通通挡起来 : (当然这 norton antivirus 也够赞 老虎老鼠傻傻分不清楚) : ※ 引述《ftbs (想败家...)》之铭言： : : 这是我的一个小小疑问～ : : 请问javascript这种网页的东西有危险性吗？ : : 因为我的浏览器有装挡javascript的工具 : : 有的网页却需要执行javascript，才能完整浏览 : : 如果没什麽很严重的危险性 : : 我个人认为严重的是 : : 例如：个人电脑资讯窃取，或资料损毁，修改电脑系统......等等 : : 没有很大的危险性的话，我想不要挡～ : : 因为有时候很麻烦～ 都不知道要不要对这个网站解开限制？> < : : 这种东西作网页的各位应该比较了解～ : : 希望帮忙解答一下心中的疑问，谢谢。^^"" thx --

※ 发信站: 批踢踢实业坊(ptt.cc) ◆ From: 218.170.60.97