二、跨站脚本攻击的应对措施

　　那么该采取什么样的应对措施呢?对此笔者给出以下几个意见，供大家参考。

　　一是采取的防火墙等安全产品，最好支持一些智能的算法，即可以根据某个特定的规则来发现可疑的还未确认的木马。这主要是因位Web木马的变异性太快。如果等到确认了再进行预防的话，那么中招的客户端已经不在少数了。现在有不少的算法都带有一定的智能分析功能。如VXID算法，就是一种将规则分析和异常分析相结合的技术。这里的规则指的是建立虚拟机检测规则的过程，而异常分析指的就是符合Web攻击模型的可疑行为。这种算法主要的核心工作就是信息收集，然后再收集的信息的基础上进行分析、判断是否有新变异的木马，然后得出具有针对性的判断结果。不过其往往只是将这种可疑的情况汇报给管理员，最终还是需要管理员根据经验与技术来判断，这种可疑的行为到底是否是木马。

　　二是需要加强日常的监控。如需要设置一些警告的规则，当出现意外情况时，即使像管理员报告。如管理员可以根据历史的数据，分析出企业平均每分钟发邮件的数量。众所周知，发垃圾邮件或者木马邮件，其往往采用的是群发或者自动发送的机制，其一分钟之内一个账号发送的邮件就可以达到几百封、甚至是上千封。正常情况下，企业邮件的发送数量是达不到这个程度的。那么就可以设置对应的规则，当出现这种意外的情况时，暂时停止邮件的转发，并通过相关的手段向管理员发送警报。对于Web网站来说，也是相同的道理，需要加强监控。特别是需要分析网页中有没有其他非经授权的用户添加了代码，或者网页有没有自动连接其他网站的行为。这些都可以通过相关的工具或者事件日志分析出来。

　　总之，跨站脚本攻击与Web木马结合，虽然具有多变性等特点。但是只要我们最好日常的防护措施，并提高安全意识，还是可以将其消除在萌芽状态的。或者说，至少可以将其损失降低到可以接受的范围之内。