xss

XSS 是常見的網頁漏洞之一，如要預防可在 HTTP Header 加入 Content Security Policies（CSP）。Google 日前推出新工具，管理員可檢驗網站的 CSP 成效，確保不會因設定不當而失去保護。

即使網頁開發者意識到網絡安全的重要，網站仍然會有漏洞，特別是 XSS。日前有白帽黑客發現美國電視劇《黑客軍團》（Mr. Robot）的新網站有 XSS 漏洞，黑客可藉此獲得訪客的 Facebook 資料，但網站沒有任何聯絡方法，只好通知製作人 Sam Esmail。

台灣有資訊安全公司的員工對 Facebook 進行滲透測試，期間無意中發現 Facebook 員工伺服器上藏有後門，會盜取員工帳戶和密碼，其後他向 Facebook 回報問題並獲得 10000 美元獎金。

不少電子商貿網站使用 Magento 來架構，但這個管理系統日前被發現有 XSS 漏洞，容易被黑客入侵控制後台。Magento 已釋出更新，用家應馬上安裝避免網站受到攻擊。