1.沙箱由来:打开一个页面,会直接在机器上执行一段代码,如果javascript中含有一些有害的代码,比如删除所有word,或者更糟糕,向脚本编写者复制这些word文档,那该肿么办?
解决办法:javascript构建为只在沙箱中运行。沙箱是一个受保护的环境,在这个环境中,脚本不能访问浏览器所在的计算机资源。
另外,浏览器所实现的安全条件高出并且超过了javascript语言所建立的最低条件,这些都定义咋一个与浏览器相关的安全策略中,它决定了脚本能做什么,不能做什么。例如,一个这样的安全策略规定脚本不能与脚本所来源的域意外的页面通信。大多数浏览器还提供了定制这一策略的方式,这可以使脚本所运行的环境限制得更严或者更松。
糟糕的是:黑客目前已经发现并充分利用了javascript的一些错误,有些与浏览器相关,有的无关。较严重的一个是跨站脚本(XSS).它实际是一类安全破坏,能够导致cookie盗窃,暴露客户端网站的数据,或者导致许多其他更为严重的问题。