前言 XSS 自动点按钮有什么危害? 在社交网络里,很多操作都是通过点击按钮发起的,例如发表留言.假如留言系统有 XSS,用户中招后除了基本攻击外,还能进行传播 -- XSS 自动填入留言内容,并模拟点击发表按钮,于是就能发布带有恶意代码的留言.好友看了中招后,又传播给他们的好友...从而形成蠕虫扩散. 那么有没有一种机制,让「发表留言」必须通过用户的「真实点击」按钮才能完成,而无法通过脚本自动实现?这样就能减缓蠕虫传播速度了. 实现 这个想法听起来好像不可行:如果发表留言需要带上用户行为信息,