1.2 腳本漏洞的根源

各種Web應(yīng)用程序之所以會出現(xiàn)各種各樣的攻擊漏洞，原因是多方面的。造成Web腳本漏洞出現(xiàn)的原因，既可能是由于程序語言的先天不足，也有可能是由于程序設(shè)計者的安全意識或程序邏輯缺失，還有可能是因為Web程序使用者的設(shè)置不當(dāng)。

1.2.1 功能與安全難以兼顧

功能越強(qiáng)大，隨之帶來的安全問題可能越嚴(yán)重——無論是對Web語言或Web應(yīng)用程序，都同樣存在著這個問題。

最基礎(chǔ)的HTML語言，功能已經(jīng)遠(yuǎn)遠(yuǎn)不能滿足各種交互式網(wǎng)頁程序的需要，因此ASP、ASPX、JSP、PHP等各種功能強(qiáng)大的網(wǎng)頁語言紛紛出現(xiàn)。交互式的網(wǎng)頁程序功能越來越強(qiáng)大，但同時安全漏洞也越來越多。

作為網(wǎng)頁程序設(shè)計者來說，往往需要面對一個問題，究竟是選擇強(qiáng)大的功能，還是選擇安全重要性？

1.2.2 安全意識的缺乏

對Web腳本攻擊認(rèn)識不足，缺乏相應(yīng)的安全意識，這也是造成各種Web腳本攻擊技術(shù)不斷出現(xiàn)的原因之一。

在許多網(wǎng)頁程序設(shè)計者眼中，網(wǎng)頁程序設(shè)計更多的是美工創(chuàng)意，以及相關(guān)功能代碼的實現(xiàn)，而程序的安全性問題往往被忽視。在傳統(tǒng)的網(wǎng)頁程序設(shè)計學(xué)習(xí)系統(tǒng)中，程序的安全性根本是被忽略的，更多的網(wǎng)頁設(shè)計教學(xué)，關(guān)注的是各種漂亮的外觀和華麗炫目的功能。由于這兩個原因，造成許多網(wǎng)頁程序設(shè)計者的安全意識嚴(yán)重不足。

也有一些網(wǎng)頁程序設(shè)計者，看到了網(wǎng)站程序安全性的重要性，但是由于相應(yīng)安全知識的不完善，因此編寫出來的程序，也難免出現(xiàn)各種各樣的漏洞問題。

另外，還有一個很重要的問題，就是網(wǎng)頁程序的代碼開源所帶來的安全問題。一方面，由于代碼開源，許多網(wǎng)頁程序設(shè)計者會在已有的程序基礎(chǔ)上進(jìn)行二次開發(fā)，或者在自己的程序中借用某個程序的部分功能。而被借用的程序本身是有安全漏洞問題的，結(jié)果這些二次開發(fā)或功能組合而成的程序又繼承了源程序的漏洞，導(dǎo)致了網(wǎng)頁程序漏洞的廣泛存在。另一方面，網(wǎng)頁程序代碼被公開后，給攻擊者帶來了方便。惡意的攻擊者也會有針對性地去閱讀程序的代碼，從中找出程序的漏洞。

談到安全意識的缺乏，不僅是網(wǎng)頁程序設(shè)計者的問題，還包括網(wǎng)頁程序應(yīng)用者及服務(wù)商等。許多網(wǎng)頁程序應(yīng)用者在使用程序時，由于設(shè)置不周全或其他原因，可能造成應(yīng)用中的漏洞。而許多網(wǎng)站服務(wù)商，本身服務(wù)器的設(shè)置問題，又有可能引發(fā)網(wǎng)頁程序的漏洞被利用攻擊。

Web網(wǎng)頁腳本安全問題，應(yīng)該是一個多方面的問題，因此，無論是網(wǎng)頁程序設(shè)計者，或者是網(wǎng)站管理員、程序使用者，都應(yīng)該深入地學(xué)習(xí)了解各種Web網(wǎng)頁腳本攻擊技術(shù)及其原理，并學(xué)會相應(yīng)的防范方案，提高自己的安全意識與技術(shù)水平。