本节书摘来自华章计算机《Web应用漏洞侦测与防御：揭秘鲜为人知的攻击手段和防御技术》一书中的第2章，第2.3节,作者：(美) 希马(Shema, M.)著， 更多章节内容可以访问云栖社区“华章计算机”公众号查看。

2.3　小结

不管攻击者的编程知识和熟练程度如何，HTML注入漏洞和跨站脚本（XSS）漏洞对于各个层级的攻击者都是理想的可利用的漏洞。漏洞利用的代码很容易编写，只需要一个文本编辑器即可，有时候甚至只需要浏览器导航栏，对JavaScript也只需要大致了解，不像缓冲区溢出漏洞利用程序，需要掌握汇编语言、编译器、调试方法等知识。XSS还提供了阻力最小的途径使得有效负载能够感染Windows、OSX、Linux、Internet Explorer、Safari和Opera等。Web浏览器是显示HTML并同复杂网站进行交互的统一平台。当HTML被一些恶意的元素巧妙操纵的时候，浏览器成了暴露信息的通用平台。有很多的用户个人数据存储在Web应用程序中，并且可以通过URL访问，对于攻击者而言没有必要付出额外的努力去获得被攻击者系统中的“root”或“administrator”权限。以浏览器为攻击目标的原因就像问劫匪为何抢劫银行的回答一样：“因为里面有钱”。
通过HTML注入攻击有安全意识的用户也很简单，即便用户的电脑安装了最新的防火墙、杀毒软件和安全补丁，容易程度同攻击在咖啡馆收发邮件的粗心用户并无二致。成功的攻击会以被攻击者浏览器中已经存在的数据为目标，或者利用HTML和JavaScript迫使浏览器执行不良的动作。当你浏览网页时，HTML和JavaScript都在浏览器内工作。使用搜索引擎、查看邮件、浏览新闻，但你可曾检查过加载到浏览器中的每一行文本么？
一些保护措施可以通过使用最新的浏览器来获得，但是主要针对的是试图为Java或Flash等浏览器插件加载漏洞的HTML注入。主流Web浏览器供应商继续增加浏览器内置防御来应对最常见的XSS以及其他基于Web的攻击。主要的防线位于网站内部，它们必须正确且安全地过滤、编码、显示内容，以保护访问者不会遭受此类攻击。