瀏覽器有不同的安全漏洞

JavaScript的跨瀏覽器和跨平臺特性并不是真正的安全性問題。通過某些修改，在一臺蘋果電腦的Internet Explorer運(yùn)行的腳本也可以在一臺PC的Netscape上運(yùn)行。但是對開發(fā)來說曾經(jīng)很困難的平臺和瀏覽器之間的差異同樣意味著各種瀏覽器具有不同的安全漏洞。因此當(dāng)一個惡意的腳本在Netscape上引發(fā)問題的時候，它也許在Internet Explorer、Opera以及Mozilla上失敗。

如今，瀏覽器變得單一，就如同一個村莊的每個農(nóng)夫都種植同一品種的農(nóng)作物一樣。只要一種單一的農(nóng)作物疾病就肯定會毀掉整年的全部收成，使這個村莊陷入饑荒。這是一個比較簡單的比喻，但是想想，在我妻子Dell機(jī)的Windows XP上運(yùn)行的一個腳本會在她母親的XP和Windows 98以及我Toshiba電腦的Windows 2000 Server上運(yùn)行。幸運(yùn)的是，雖然看起來好像JavaScript完全缺乏安全功能，但實際并不是這樣。JavaScript其實擁有一定數(shù)量的安全功能。

數(shù)據(jù)感染安全性模型

Netscape Navigator 3引入了數(shù)據(jù)感染這個并不長久的概念。當(dāng)被打開時，數(shù)據(jù)感染允許一個瀏覽器窗口察看另一個窗口的屬性，而不管該窗口是從哪個服務(wù)器裝載的。第二個頁面的開者需要標(biāo)記哪些屬性在哪里被感染，并不能能傳給服務(wù)器。雖然是個有趣的主意，但是它需要防御的代碼，而且客戶端必須允許數(shù)據(jù)感染。

最為客戶端的JavaScript安全性的一個重要部分就是有很多事不能做。沒有訪問客戶端文件、查詢客戶端網(wǎng)絡(luò)連接、執(zhí)行操作系統(tǒng)命令或程序的對象。有些時候缺少這些功能很惱人，但是它卻避免了鋪天蓋地的問題。