随着各浏览器安全功能的提高，前端防御面临的问题也没有之前那么复杂，但浏览器的防御措施并不能百分百的保证网站的安全。浏览器的 XSS Auditor，使得反射型 xss 几乎被废；CSP(Content-Security-Policy)、X-XSS-Protection 可以禁止不可信源的脚本执行！无疑，这对 xss 攻击是一记重拳。但是道高一尺，魔高一丈，尤其是在安全界，永远记住的一句箴言就是 “只有相对的安全，没有绝对的安全”。本文重点介绍现代浏览器的安全特性以及浏览器依然不能防御的攻击手段。