ppk谈JavaScript笔记 JavaScript的安全性问题（第一章B技术概括）

JavaScript作为一门web网页脚本语言，若其不安全，将是感染病毒、木马、或者其他恶意程序的最快捷径，以下为JavaScript安全性的讨论

不允许访问宿主计算机

若允许，将可能从用户硬盘中读取密码文件或者写入病毒。

同源策略

两个窗口的页面的Web域名必须相同，才允许跨窗口通信。如果不是这种情况，浏览器就会报告安全错误。

若不限制

恶意站点拥有者可以读取用户在网上银行输入的密码并将其保存于自己的服务器上。

其他限制

JavaScript不能读取历史对象的属性。
尽管你可以让用户在浏览器历史中后退，但你不能知道他们退到哪个页面

JavaScript不能设置文件上传表单域的值。
因此，恶意站点拥有者不能讲其设置为密码文件的路径，然后自动提交表单来获取用户密码文件的副本。

试图关闭用户打开的浏览窗口将会被询问动作
除了JavaScript打开的窗口可以不受限制。

大多数浏览器不允许你打开一个小于100x100像素的新窗口，也不可以打开处于屏幕可视范围之外的新窗口。
此外，你也不能打开没有标题栏的新窗口。

参考资料——ppk谈JavaScript（ppk on JavaScript）