网上冲浪查资料的时候，网页有个弹窗。

这个第一时间没有反应过来，因为有弹窗的网页太多了。

查完资料，准备关闭网页的时候，突然想起来刚才的弹窗，弹窗内容好像不太对。

如图，弹出的内容是个"a"。以为是哪个程序员写的测试代码，所以搜索了一下网页源码，找点乐子。

看完网页源码，直接笑到了。

博客有留言功能，有人留了个js的代码，成功注入攻击。只能说不应该呀，技术博客居然有js注入攻击的漏洞。

JS注入攻击可能导致以下风险：

1. 窃取用户敏感信息：攻击者可以通过注入恶意代码窃取用户的个人信息、账号密码等隐私数据。

2. 篡改网页内容：攻击者可以修改网页内容，误导用户点击恶意链接、下载恶意软件等。

3. CSRF攻击：JS注入可能导致跨站请求伪造（CSRF）攻击，攻击者利用用户的已认证会话执行操作，如转账、更改密码等。

以上内容：2024/8/5上午