1.2 腳本漏洞的根源

各種Web應用程序之所以會出現各種各樣的攻擊漏洞，原因是多方面的。造成Web腳本漏洞出現的原因，既可能是由于程序語言的先天不足，也有可能是由于程序設計者的安全意識或程序邏輯缺失，還有可能是因為Web程序使用者的設置不當。

1.2.1 功能與安全難以兼顧

功能越強大，隨之帶來的安全問題可能越嚴重——無論是對Web語言或Web應用程序，都同樣存在著這個問題。

最基礎的HTML語言，功能已經遠遠不能滿足各種交互式網頁程序的需要，因此ASP、ASPX、JSP、PHP等各種功能強大的網頁語言紛紛出現。交互式的網頁程序功能越來越強大，但同時安全漏洞也越來越多。

作為網頁程序設計者來說，往往需要面對一個問題，究竟是選擇強大的功能，還是選擇安全重要性？

1.2.2 安全意識的缺乏

對Web腳本攻擊認識不足，缺乏相應的安全意識，這也是造成各種Web腳本攻擊技術不斷出現的原因之一。

在許多網頁程序設計者眼中，網頁程序設計更多的是美工創意，以及相關功能代碼的實現，而程序的安全性問題往往被忽視。在傳統的網頁程序設計學習系統中，程序的安全性根本是被忽略的，更多的網頁設計教學，關注的是各種漂亮的外觀和華麗炫目的功能。由于這兩個原因，造成許多網頁程序設計者的安全意識嚴重不足。

也有一些網頁程序設計者，看到了網站程序安全性的重要性，但是由于相應安全知識的不完善，因此編寫出來的程序，也難免出現各種各樣的漏洞問題。

另外，還有一個很重要的問題，就是網頁程序的代碼開源所帶來的安全問題。一方面，由于代碼開源，許多網頁程序設計者會在已有的程序基礎上進行二次開發，或者在自己的程序中借用某個程序的部分功能。而被借用的程序本身是有安全漏洞問題的，結果這些二次開發或功能組合而成的程序又繼承了源程序的漏洞，導致了網頁程序漏洞的廣泛存在。另一方面，網頁程序代碼被公開后，給攻擊者帶來了方便。惡意的攻擊者也會有針對性地去閱讀程序的代碼，從中找出程序的漏洞。

談到安全意識的缺乏，不僅是網頁程序設計者的問題，還包括網頁程序應用者及服務商等。許多網頁程序應用者在使用程序時，由于設置不周全或其他原因，可能造成應用中的漏洞。而許多網站服務商，本身服務器的設置問題，又有可能引發網頁程序的漏洞被利用攻擊。

Web網頁腳本安全問題，應該是一個多方面的問題，因此，無論是網頁程序設計者，或者是網站管理員、程序使用者，都應該深入地學習了解各種Web網頁腳本攻擊技術及其原理，并學會相應的防范方案，提高自己的安全意識與技術水平。