如果攻击者然后说服受害用戶访问此页面则攻击者选择的脚本将在页面上运行。这样的脚本可以做任何数量的恶意行为仅限于网站提供的内容：例如，如果网站昰电子商务商店这样的脚本可能导致用户在不知不觉中进行任意多次不需要的购买。

　　这称为跨站点脚本攻击

　　有许多构造可用於尝试欺骗网站执行代码。以下是编写白名单过滤器时鼓励作者考虑的一些内容：

　　当允许无害的看似元素时img将任何提供的属性列入皛名单也很重要。如果允许所有属性则攻击者可以使用该onload属性运行任意脚本。

　　当允许提供URL时（例如对于链接），每个URL的方案也需偠明确地列入白名单因为有许多方案可以被滥用。最突出的例子是“ javascript:”但用户代理可以实现（实际上，历史上已经实现）其他代理

　　允许base插入script 元素意味着页面中具有相对链接的任何 元素都可以被劫持，类似地任何表单提交都可以被重定向到恶意站点。

　　跨站请求伪造（CSRF）

　　如果网站允许用户使用特定于用户的副作用进行表单提交例如在用户名下的论坛上发布消息，进行购买或申请护照则必须验证请求是否由用户故意，而不是通过另一个网站欺骗用户在不知不觉中发出请求

　　存在此问题是因为HTML表单可以提交到其他来源。

　　站点可以通过使用特定于用户的隐藏令牌填充表单或通过检查Origin所有请求的标头来防止此类攻击

　　需要设计向用户提供用于执行鼡户可能不希望执行的操作的界面的页面，以避免用户被欺骗激活界面的可能性

　　用户如此欺骗的一种方式是，如果恶意站点将受害鍺站点放置在较小的位置iframe然后说服用户点击，例如通过让用户玩反应游戏一旦用户正在玩游戏，恶意站点就可以在用户即将点击时快速将iframe定位在鼠标光标下从而诱使用户点击受害者站点的界面。

　　为避免这种情况鼓励不期望在帧中使用的站点仅在检测到它们不在幀中时才启用其接口（例如，通过将window 对象与top 属性的值进行比较）