就現今網頁威脅來看，網頁威脅的種類非常多樣性，理論上講，基於Web的威脅可被分為三類：一、行為：例如惡意網站和不需要的應用程式，二、產品與種類：不恰當的內容，例如網路釣魚網站，三、程式：例如，間諜軟體惡意程式。

要威脅瀏覽網頁的使用者，並非只能透過JavaScript和ActiveX，只要是跟網頁應用有關，一旦只要被有心人士利用，都會造成瀏覽用戶的安全問題，簡單舉幾個例子:

1. IFrame標籤: IFrame標籤會在一個沒有設定frame的網頁中央，建立一個浮動的frame，將瀏覽者導向其他惡意網站或將其他網站內容插入網頁當中，瀏覽者不容易察覺，下載並植入後門或木馬程式而不自知。

2. 修改或攔截Cookie: Cookie是網站用來確認身份與記錄敏感性（如密碼）個人資料的檔案，有心人士可以通過網路竊聽（sniffer）來攔截它，使用它來跟網站伺服器溝通，竊取瀏覽網站使用者的機密資料。

3. 網頁上的圖檔:在之前微軟的圖形裝置介面JPEG處理程式中，當瀏覽者載入一張JPEG的圖檔時，處理程式並沒作足邊界檢查，造成了整數溢位的情形，所以當惡意人士讓瀏覽者打開惡意的圖檔時，攻擊者就可以用和使用者相同的權限，能執行任意的指令。

4. 網頁下載或要求瀏覽者安裝瀏覽網頁需要的程式：自網頁下載的程式有可能為有心人士所存放的惡意程式，而安裝瀏覽網頁需要的程式也可能是木馬或後門程式。

5. 電子郵件 : 有心人士可以透過電子郵件內嵌網頁或多媒體檔案，藉由上述的手法如IFrame標籤或惡意圖檔，不管使用者是否關閉JavaScript或ActiveX的功能，皆可造成使用者安全上的威脅。

6. 瀏覽器本身的軟體弱點及漏洞: 利用瀏覽器程式在處理網頁語法或網頁物件時，針對程式處理的缺陷來執行惡意程式或操控系統。

7. CSS attack: 此CSS並非Cross-Site Scripting而是（Cascading Style Sheet），是較新的攻擊手法，目前有兩種方式:
 CSS overlays:利用IFrame + CSS，只顯示部分的內容，讓使用者去誤點某些不安全的操作。
 Submit buttons:把submit button的border拿掉、改字體，讓它看起來像普通的link，讓瀏覽者不疑有他，點擊連到其他惡意網站。

8. 網路釣魚: 典型的網路釣魚騙局多以線上金融交易用戶為對象，網路釣魚攻擊利用偽造的網站來欺騙受害者，並藉此獲取受害者的個人金融資料，像是信用卡號、帳戶名稱及密碼等。

9. 網址嫁接: 是指不法駭客將網際網路流量，從原本的網站重新導引至另一個看似相同的網站，誘騙人們將使用者名稱及密碼輸入到該偽造網站的資料庫中。銀行或相關金融網站常是這類攻擊的對象，不法駭客試圖從中竊取個人資訊，用來存取他人的銀行帳戶、盜用身分，或冒名犯下其他類型的詐騙案。

10. SSL攻擊：利用SSL軟體設計上的弱點，如微軟IE實作SSL上的問題，讓惡意網站可以假冒不合法的憑證，將瀏覽者的SSL連線導向到惡意網站。

11. 網頁上的多媒體檔案，如RealPlayer、Windows Media Player、Marcomedia Flash Player等都有相關的軟體弱點，可以讓有心人士利用，對於網頁瀏覽者造成安全上的威脅。

參考資料：《iThome企業資安技術應用專刊》作者/數聯資安資深工程師黃煥清