跨站点脚本（XSS）现在是另一个应用开发者面临的问题。这是恶意用户向用户浏览的web应用网页注入代码的地方。通常都没有任何迹象指示正在发生什么。但在幕后，用户信息却被操作和盗取。

　　对抗XSS是个挑战，应用开发者通常用限制被键入到输入域内容的方法来对抗。

　　Walker提到“问题是，我们懒惰，实际上搞定它很难。你放置内容的地方是和语义相关联的，除非你完全理解那个语义，否则将遇到麻烦。”

　　Walker说开发者在输入域中一般应该不容许HTML。此外，输入应该基于“安全”的输入值来过滤，输出应该被目的地环境所过滤。

　　Google软件工程师Ben Lisbakken说“CSRF在我看来是最普遍的威胁， 它到处都是。它容易修复但也很容易被利用。很多人在他们的网站上登录，但不是每个人知道这个登录能被漏洞利用。”

　　Lisbakken表示作为一名Google的新工程师，他甚至在他写过的自认为足够安全的应用中发现这样一个安全风险。

　　多个漏洞一起就叫做组合进攻，虽然风险更小，但也很重要。例如，网络蠕虫可以使用XSS和CSRF属性来跳过社交网络并在指数级别上感染用户。Web应用必须通过对这两种袭击的安全防范来抵御这种蠕虫。

　　Click Jacking也不时地攻击用户。在一个网页作为不可见的iframe覆盖另一页的网页的地方，诱使用户点击一个未知的按钮。为了避免这种情况，Walker推荐尽可能配置您的应用来禁止在iframes上显示。