XSS

2019年3月，一名安全研究员发现了一个令人不安的事实：在全球排名前100万的网站中，部署了CSP的网站仅有4.6%，而其中超过一半的策略可以被轻易绕过。这项由Google安全团队主导的研究揭示了一个残酷的真相——这个被设计为XSS攻击"终结者"的安全机制，在实践中正变得形同虚设。 ...

2018年8月，PortSwigger安全研究员James Kettle在Black Hat USA上展示了一项研究成果。他通过一个精心构造的HTTP请求，成功控制了Firefox浏览器的更新系统——理论上可以影响数千万用户。攻击方式简单到令人不安：发送一个带有恶意X-Forwarded-Host头的请求，缓存在此基础上存储了一个指向攻击者服务器的响应，随后所有请求更新的Firefox用户都会被重定向到攻击者控制的服务器。 ...

在Stack Overflow上搜索"Markdown解析"，会出现超过2万个问题。其中最高赞的一个问题是：“为什么***foo***会被解析成斜体加粗，而***foo**却变成了粗体加星号？“这个看似荒谬的问题，实际上触及了Markdown解析器最核心的设计困境。 ...