为什么企业会因为XSS攻击纷纷租用的云主机？作为一种HTML注入攻击，XSS攻击的核心思想就是在HTML页面中注入恶意代码，而XSS采用的注入方式是非常巧妙的。
 

　　XSS攻击一般包括三个核心组成部分：攻击者、目标服务器、受害者浏览器。
 

　　在网络安全意识还远远跟不上互联网发展的时代，有些服务器并不要求对用户的输入进行安全方面的验证，这时攻击者就可以很容易地通过正常的输入手段，夹带进一些恶意的HTML脚本代码。当受害者的浏览器访问目标服务器上被注入恶意脚本的页面后，由于它对目标服务器的信任，这段恶意脚本的执行不会受到什么阻碍。而此时，攻击者的目的就已经达到了。
 

　　2018年，谷歌安全工程师Ruslan Habalov在其博客上透露，他分别在火狐和Chrome等浏览器上发现了一个可以泄露跨站源框架视觉内容的旁路攻击。发现此攻击的同时还有德国的渗透测试工程师和另一名安全研究员。

　　该漏洞归因于2016年CSS3 Web标准中引入的名为“mix-blend-mode”的特性，允许Web开发人员将Web组件叠加在一起，并添加控制其交互方式的效果。为展示此漏洞，研究人员造访了一个恶意网站，发现可以利用跨域iframe获取用户的Facebook资料，包括照片和用户名等信息，整个过程不需要与用户有额外的互动。
 

　　Habalov 在文中解释称，在启用 “mix-blend-mode” 时，攻击者可以利用 DIV 元素的层叠来覆盖目标对象的浮动框架(iframe)，浏览器渲染此一层叠的时间会根据浮动框架内的像素颜色而有所不同，最后在浮动框架中移动该DIV层叠，强迫重新渲染并测量个别的渲染时间，即有可能算出浮动框架的内容。经过测试，大概20秒左右就能拿到用户的ID，5分钟左右就能拿到模糊的个人资料和图片。

　　据悉，受影响的浏览器主要是火狐和Chrome，IE和Microsoft Edge不受影响是因为它们不支持mix-blend-mode，Safari由于采用的是矢量化的实现方式也不受影响。