跨站之魂 - javascript

在web前段安全中，javascript控制了整个前端的逻辑，通过javascript可以完成许多操作，举个例子，用户在网站有哪些操作？首先提交内容，然后可以编辑和删除，那么这些javascript几乎都可以完成，为什么是几乎？因为碰到提交表单需要验证码的情况下，javascript就不行了，虽然有HTML5的canvas辅助，但是效果并不好

对跨站师来说，大多数情况下，有了XSS漏洞，就意味着可以注入任意的javascript，有了javascript，就意味着攻击者的任何操作都可以模拟，任何隐私信息都可以获取到，javascript是跨站之魂